SOU 2002:2

Datainspektionen - Kompetens, effektivitet, service

Till statsrådet Britta Lejon

Regeringen beslutade den 21 december 2000 att tillkalla en särskild utredare för att göra en översyn av Datainspektionens uppgifter och verksamhet mot bakgrund av den nya personuppgiftslagen (1998:204) och den snabba utvecklingen inom informationsteknikens område. Utredaren skulle också analysera behoven av förändringar i verksamhetsinriktning och arbetsformer och lämna de förslag som behövs när det gäller inriktning, omfattning och finansiering av den fortsatta verksamheten.

Den 21 december 2000 förordnade statsrådet Britta Lejon kammarrättslagmannen Sten Wahlqvist att från och med den 1 januari 2001 vara särskild utredare.

Som experter har från och med den 9 mars 2001 medverkat byråchefen Ursula Cronsten, finansinspektören Britt Ericsson, enhetschefen Eva-Lotta Hedin, departementsrådet Henrik Jermsten, direktören Anna Karlgren, chefsjuristen Leif Lindgren, kammarrättsassessorn Peder Liljeqvist, professorn Peter Seipel, departementssekreteraren Lars Söderström och kriminalkommissarien Benny Wahlbäck.

Sekreterare åt utredningen har varit kammarrättsassessorn Lars Dahlström.

Utredningen har tagit namnet Utredningen om Datainspektionens framtida verksamhetsinriktning (Ju 2000:16).

Härmed överlämnar utredningen sitt betänkande (SOU 2002:2) DATAINSPEKTIONEN Kompetens – Effektivitet – Service.

Utredningens arbete är härigenom avslutat.

Jönköping i december 2001

Sten Wahlqvist

/Lars Dahlström

Sammanfattning

Några allmänna utgångspunkter för uppdraget

Den 24 oktober 1998 trädde personuppgiftslagen (1998:204) i kraft. Samtidigt upphörde datalagen (1973:289) att gälla, med undantag för vid den tidpunkten pågående behandlingar av personuppgifter, för vilka lagen gällde till och med den 30 september 2001. Personuppgiftslagen har sin utgångspunkt i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Dataskyddsdirektivet föreskriver bl.a. att det skall finnas en oberoende tillsynsmyndighet som övervakar tillämpningen av den nationella lagstiftningen till följd av direktivet. I Sverige har Datainspektionen utsetts till sådan myndighet. Datainspektionen är således den tillsynsmyndighet som skall se till att personuppgiftslagens regler efterlevs och att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter.

Utredningen har i uppdrag att göra en översyn av Datainspektionens uppgifter och verksamhet mot bakgrund av den nya personuppgiftslagen och den snabba utvecklingen inom informationsteknikens område. Utredningen skall analysera behoven av förändringar i verksamhetsinriktning och arbetsformer och lämna de förslag som behövs när det gäller inriktning, omfattning och finansiering av den fortsatta verksamheten.

Utredningen skall därutöver särskilt överväga vilken roll Datainspektionen bör ha när det gäller tillsyn inom ramen för polis- och tullsamarbetet och om inspektionen fortsättningsvis skall ha tillstånds- och tillsynsuppgifter när det gäller kreditupplysnings- och inkassoverksamhet eller om detta ansvar kan föras över till någon annan myndighet och i så fall till vilken. Utredningen skall vidare undersöka möjligheterna för Datainspektionen att mera aktivt stimulera utvecklingen av frivilligt integritetsskydd genom olika former av självreglering. En annan särskild uppgift för utredningen är att analysera

formerna för den fortsatta finansieringen och möjligheterna att helt eller delvis finansiera den framtida verksamheten med avgiftsintäkter.

Datainspektionens framtida verksamhetsinriktning

Skyddet för den personliga integriteten

Datainspektionen är, och bör enligt utredningens mening även fortsättningsvis vara, central förvaltningsmyndighet med uppgift att verka för att människor i Sverige skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Avsikten med integritetsskyddslagstiftningen, och därmed Datainspektionens verksamhet, har alltid varit och är alltjämt att undanröja den ökade risk för intrång i den personliga integriteten som automatiserad behandling av personuppgifter kan leda till.

Skyddet för den personliga integriteten är en grundläggande mänsklig rättighet som upprätthålls av internationella konventioner, nationell lagstiftning samt kultur och tradition. Ett pålitligt skydd för den personliga integriteten underlättar användningen av ny teknik och det är i många sammanhang av stor ekonomisk betydelse att personuppgifter behandlas korrekt och i enlighet med god sed.

Personuppgiftslagen utgör på många sätt ett nytt regelverk i jämförelse med datalagen. Den för Datainspektionen kanske mest väsentliga förändring som skett genom personuppgiftslagen är att det tillståndskrav för behandling av personuppgifter som gällde enligt datalagen har tagits bort. Enligt personuppgiftslagen skall inspektionen i stället värna om skyddet för den personliga integriteten genom sina befogenheter som en mer eller mindre renodlad tillsynsmyndighet. Förhandsprövningen har i princip ersatts av en efterhandskontroll. En sådan förändring av myndighetens uppgifter måste naturligtvis få konsekvenser för verksamhetens inriktning.

För att säkerställa en hög skyddsnivå för den personliga integriteten i samband med behandling av personuppgifter är det enligt utredningens mening flera åtgärder som är viktiga och som måste samspela. Av grundläggande betydelse är att information om integritetsfrågor sprids för att åstadkomma en allmän medvetenhet om frågorna och kunskap om de rättigheter och skyldigheter som registrerade respektive personuppgiftsansvariga har. Det är vidare av mycket stor vikt att det genom omfattande och effektiva inspektioner kontrolleras att gällande regler efterlevs. Inte minst viktigt är givetvis att de som behandlar personuppgifter tar ett självständigt ansvar för att lagstiftningen följs och integritetsfrågor beaktas, t.ex. genom att utse personuppgiftsombud

och utarbeta olika former av självreglering för sin verksamhet. Även de möjligheter som teknikutvecklingen erbjuder bör utnyttjas för att motverka intrång i den personliga integriteten vid behandling av personuppgifter.

Information och inspektion

Att värna om skyddet för den personliga integriteten är ett ansvar för var och en som behandlar personuppgifter. Datainspektionen har som tillsynsmyndighet ett särskilt ansvar att verka för att människor i Sverige skyddas mot att deras personliga integritet kränks. För att inspektionen på bästa sätt skall uppnå målsättningen med sin verksamhet skall myndigheten enligt utredningens uppfattning koncentrera sina resurser på två huvudområden: Information och Inspektion. Datainspektionen skall informera om personuppgiftslagen och ge råd i integritetsfrågor samt utföra inspektioner för att kontrollera att personuppgiftslagen och annan integritetsskyddslagstiftning efterlevs i praktiken.

Förebyggande åtgärder i form av information för att höja det allmänna medvetandet och kunskaperna om alla frågor som rör integritetsskydd i samband med behandling av personuppgifter utgör grunden för framgång i Datainspektionens verksamhet. De som berörs av behandlingar av personuppgifter, såväl personuppgiftsansvariga som registrerade, måste göras uppmärksamma på relevanta frågeställningar och hur de skall uppfylla sina skyldigheter och tillvarata sina rättigheter. Sådana informationsinsatser skall sedan kompletteras med en effektiv och ändamålsenlig inspektionsverksamhet i vilken myndigheten kontrollerar att gällande regler och god sed efterlevs av dem som behandlar personuppgifter i samhället.

Datainspektionen har även andra uppgifter än information och inspektion, som är av betydelse för integritetsskyddet i samhället. Myndigheten är bl.a. remissinstans vid lagstiftningsförslag som rör integritetsfrågor och har ett omfattande internationellt åtagande, t.ex. inom EU. Det är emellertid viktigt att detta arbete inte tillåts inskränka Datainspektionens möjligheter att bedriva en effektiv och ändamålsenlig informations- och inspektionsverksamhet. Det är av mycket stor betydelse för integritetsskyddet i samhället att en övervägande del av Datainspektionens resurser fortlöpande ägnas åt information och inspektion (jfr bilaga 5). Det är vidare viktigt att myndigheten upprätthåller en stor omfattning av och en hög kvalitet i dessa verksamheter även om myndighetens ansvarsområden utökas och nya uppgifter tillkommer i framtiden.

Kompetens – Effektivitet – Service

Uppgiften att som tillsynsmyndighet enligt personuppgiftslagen, genom information och inspektion, värna om människors personliga integritet i samband med behandling av personuppgifter ställer höga krav på Datainspektionen. En sådan verksamhet förutsätter personal med en hög kompetens inom myndighetens hela ansvarsområde, en ändamålsenlig organisation samt en utvecklad strategi för arbetets genomförande.

Datainspektionen skall kännetecknas av kompetens, effektivitet och service.1 Myndigheten skall vara aktiv, utåtriktad och delta i samhällsdebatten i frågor som rör behandling av personuppgifter och personlig integritet. Datainspektionen skall vara en myndighet som är välkänd för allmänheten och som inom området behandling av personuppgifter och personlig integritet uppfattas som en kraftfull resurs för alla människor i Sverige.

Personal med hög kompetens är en förutsättning för att Datainspektionen skall lyckas vara en effektiv och serviceinriktad myndighet. För att på ett ändamålsenligt sätt utföra uppgifterna som tillsynsmyndighet krävs goda kunskaper vad gäller integritetslagstiftning och informationsteknik.

Särskilt framstår god kännedom om informationsteknik och informationssystem, med tonvikt på informationssäkerhet, som viktigt för den framtida verksamheten. Datainspektionens personal består i dag av ett stort antal jurister och myndigheten är väl tillgodosedd när det gäller kunskap om personuppgiftslagen och anknytande integritetslagstiftning. Den informationstekniska utvecklingen medför såväl hot som möjligheter för den personliga integriteten. Goda tekniska kunskaper är därför en förutsättning för att myndigheten skall kunna genomföra inspektionsinsatser på ett ändamålsenligt och fullgott sätt och informera om de integritetssrisker som utvecklingen av ny teknik för med sig. Enligt utredningens uppfattning bör därför andelen anställda med teknisk kompetens öka. En idealsituation är naturligtvis att personalen besitter kunskap inom såväl integritetslagstiftning som informationsteknik.

I den mån myndighetens egen kompetens är otillräcklig måste externa resurser anlitas. Viktigt är också att Datainspektionen samråder med andra myndigheter i frågor som rör IT-säkerhet och integritet.

Med nuvarande arbetsuppgifter bör Datainspektionens resurser vad gäller antalet anställda initialt vara oförändrade. Med ett fullt utbyggt

1 Jämför betänkandets titel.

system med personuppgiftsombud bör emellertid Datainspektionens personalresurser på sikt kunna minska.

Personuppgiftsombud

Systemet med personuppgiftsombud bör i enlighet med personuppgiftslagens intentioner utnyttjas kraftfullt för att decentralisera ansvaret för skyddet för den personliga integriteten. Personuppgiftslagens regler bygger på att ansvaret för behandlingen av personuppgifter ligger hos den för vars verksamhet behandlingen sker. Den personuppgiftsansvarige kan utse ett personuppgiftsombud som har till uppgift att självständigt granska om behandlingen av personuppgifter sker korrekt och i enlighet med god sed. Personuppgiftsombud fungerar på så sätt som Datainspektionens förlängda arm.

Med hänsyn till ombudens ansvar innebär införandet av personuppgiftsombud en rejäl ambitionshöjning när det gäller nivån på integritetsskyddet i samhället. Om alla myndigheter, företag och andra organisationer av någon storlek utser personuppgiftsombud för att övervaka behandlingen av personuppgifter, innebär det en enorm resursförstärkning vad gäller skyddet för den personliga integriteten. Ett ändamålsenligt utnyttjande av systemet med personuppgiftsombud betyder att ombuden tar över en del av det ansvar som i dag vilar på Datainspektionen. Enligt utredningens uppfattning bör en sådan förskjutning av ansvaret möjliggöra för Datainspektionen att effektivisera sin tillsynsverksamhet vad gäller inriktning och omfattning. Inspektionen kan härigenom koncentrera sina insatser till de områden där särskilt känsliga personuppgifter behandlas och där störst risk för intrång i den personliga integriteten föreligger. Datainspektionen bör därför verka för att så många personuppgiftsansvariga som möjligt utser personuppgiftsombud.

I takt med att personuppgiftsombudens ansvar för integritetsskyddet utvecklas bör enligt utredningens mening förutsättningar skapas för att på sikt minska Datainspektionens resurser. Ett utbyggt system med personuppgiftsombud bör medföra att ett fullgott skydd för den personliga integriteten kan uppnås i samhället även om omfattningen av Datainspektionens verksamhet minskar.

Tillsyn inom polis- och tullsamarbetet

Utredningen har som särskild uppgift att överväga om Datainspektionen även fortsättningsvis bör vara tillsynsmyndighet vad gäller Europol-, Schengen- och TIS-konventionerna om polis- och tullsamarbete. Enligt utredningens uppfattning bör dessa uppgifter alltjämt ligga på Datainspektionen. De tre konventionerna reglerar stora datorbaserade informationssystem, som innehåller ansenliga mängder personuppgifter för ett snabbt och effektivt informationsutbyte konventionsstaterna emellan. En oberoende myndighet skall vara tillsynsmyndighet enligt konventionerna. Ingen myndighet är lämpligare än Datainspektionen i detta avseende.

Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet

Datainspektionen bör i fortsättningen vara en renodlad tillsynsmyndighet vad gäller skyddet för den personliga integriteten i samband med behandling av personuppgifter. Utredningen anser därför att tillstånds- och tillsynsuppgifterna enligt kreditupplysnings- och inkassolagarna bör tas över av en annan myndighet.

Övervägande skäl talar enligt utredningens uppfattning för att uppgifterna skall flyttas över till Finansinspektionen. Såväl kreditupplysnings- som inkassoverksamhet har ett påtagligt samband med keditbedömning och annan finansiell verksamhet. Finansinspektionens kunskaper om kreditinstitutens speciella problem och om kreditmarknaden i sin helhet kan här vara av stort värde. Samtidigt har området också samband med konsumentskyddsfrågor där Finansinspektionen med sitt särskilda ansvar för konsumentskydd kan fylla en viktig uppgift.

Datainspektionen skall givetvis behålla tillsynen enligt personuppgiftslagen inom kreditupplysnings- och inkassoområdena.

En överflyttning av de aktuella uppgifterna till Finansinspektionen ger Datainspektionen ökade resurser för information och inspektion enligt personuppgiftslagen samt möjlighet att koncentrera sin verksamhet till dessa huvuduppgifter och på så sätt förbättra skyddet för den personliga integriteten vid behandling av personuppgifter.

Utredningen anser att Datainspektionens resurser initialt skall vara oförändrade även om de aktuella uppgifterna flyttas över till Finansinspektionen. Detta medför en resursförstärkning totalt sett med omkring 2,5 årsarbetskrafter. Utredningen föreslår att tillstånds- och tillsynsuppgifterna enligt kreditupplysnings- och inkassolagarna i

framtiden skall finansieras med avgifter. Om en sådan avgiftsfinansiering genomförs behöver resursförstärkningen inte finansieras med skattemedel.

Självreglering

Datainspektionen har ett mycket omfattande ansvarsområde. Det är inte möjligt för inspektionen att kontrollera allt och alla. Personuppgiftslagen bygger också på ett från Datainspektionen decentraliserat ansvar för integritetsskyddet i samband med behandling av personuppgifter. Därutöver medför den snabba tekniska utvecklingen att statsmakterna inte i alla delar hinner anpassa lagstiftningen till den faktiska verkligheten.

Mot bakgrund härav är det utredningens uppfattning att Datainspektionen mer aktivt bör stimulera alla slag av organisationer i samhället att ta ett självständigt ansvar för sin behandling av personuppgifter genom att utveckla olika former av självreglering. Med självreglering avses här rekommendationer eller regler för behandling av personuppgifter, som t.ex. ett företag eller en bransch skapar för att stärka integritetsskyddet och förebygga eller lösa problem i förhållande till konsumenter eller andra kunder.

Datainspektionen har enligt personuppgiftsförordningen som särskild uppgift att avge yttrande över förslag till branschöverenskommelser vad avser behandling av personuppgifter inom en viss bransch eller ett visst område. Detta är en viktig uppgift för integritetsskyddet och rutinmässigt bör enligt utredningens mening frågor om branschöverenskommelser och annan form av självreglering väckas i samband med myndighetens inspektionsverksamhet.

Att de personuppgiftsansvariga i samarbete med Datainspektionen lägger fast principer för sin behandling av personuppgifter kan skapa ett värdefullt förtroende hos allmänheten och ett förstärkt integritetsskydd i samhället i stort. Samtidigt innebär sådana initiativ att det allmänna medvetandet om integritetsskydd i samband med behandling av personuppgifter höjs.

När det gäller att motivera olika organisationer i samhället att ta ett självständigt ansvar för integritetsskyddet i samband med behandling av personuppgifter pekar utredningen särskilt på att det arbete som dataskyddsmyndigheten i Nederländerna utför kan tjäna som förebild för Datainspektionen.

Datainspektionens finansiering

Utredningen har mycket noggrant övervägt möjligheterna att finansiera Datainspektionens verksamhet med avgifter. Utredningen har härvid kommit till den slutsatsen att det inte är lämpligt att finansiera hela Datainspektionens verksamhet med avgifter, utan denna måste till största delen finansieras genom skattemedel.

De främsta skälen till att Datainspektionens verksamhet inte lämpar sig för en finansiering via avgifter är att det är svårt att peka ut såväl de uppgifter som myndigheten kan ta betalt för som vem som skall betala avgifterna. Dessutom kan den principiella frågan om vem som egentligen har nytta av Datainspektionens verksamhet tas upp som ett argument mot att avgifter skall tas ut. Datainspektionen har till uppgift att värna om skyddet för den personliga integriteten. Det kan alltså hävdas att det är alla människor i Sverige, och inte de företag och myndigheter som kan bli föremål för avgifter, som har den egentliga nyttan av Datainspektionens verksamhet.

I vissa avseenden är sambandet mellan Datainspektionens verksamhet och nyttan för dem som skall betala dessutom så svagt att det enligt utredningens mening är uteslutet med en avgiftsfinansiering. Det gäller myndighetens internationella arbete inom t.ex. EU samt arbetet med remisser, föreskrifter och allmänna råd.

Utredningen anser att frågan om en eventuell avgiftsfinansiering i första hand bör bedömas utifrån den utgångspunkten att avgifterna skall ha en styrande effekt. Avgifter bör användas för att åstadkomma en önskvärd effektivisering och prioritering av Datainspektionens verksamhet. Ett avgiftssystem bör också ha till syfte att påverka personuppgiftsansvariga att utse personuppgiftsombud och i övrigt behandla personuppgifter korrekt och i enlighet med god sed. Det är enligt utredningens mening i första hand verksamhet som efterfrågas frivilligt, t.ex. genom anmälningar och ansökningar om tillstånd, samt myndighetens renodlade inspektionsarbete som bör komma i fråga för avgiftsbeläggning. Övriga verksamheter bör även fortsättningsvis finansieras helt med skattemedel. Anslagsfinansiering bör också utgöra basen för myndighetens verksamhet i dess helhet, med eventuella avgiftsintäkter som komplement.

Utredningen lämnar inga konkreta förslag om avgiftsfinansiering utan redovisar endast i grova drag tänkbara modeller. Enligt utredningens mening skulle Datainspektionens verksamhet delvis kunna finansieras genom avgifter som tas ut av dem som drar nytta av myndighetens verksamhet och av dem som föranleder inspektionen arbete. Det kan därför finnas skäl att debitera en avgift per timma för den renodlade inspektionsverksamheten och att ta ut en avgift för anmälningar enligt

personuppgiftslagen om behandling av personuppgifter. Även i fortsättningen bör avgifter tas ut för myndighetens informationsmaterial, konferenser och föreläsningar.

Om en avgiftsfinansiering enligt utredningens modeller skulle genomföras – dvs. avgifter tas ut för informationsmaterial och för anmälningar och inspektioner enligt personuppgiftslagen – borde den enligt utredningens bedömning kunna bidra med upp till tjugo procent av Datainspektionens totala budget.

Tillstånds- och tillsynsverksamheten enligt kreditupplysnings- och inkassolagarna lämpar sig enligt utredningens mening väl för avgiftsfinansiering, oberoende av om verksamheten enligt utredningens förslag flyttas över till Finansinspektionen eller inte.

Utredningen anser inte att en generell avgiftsfinansiering skall införas vad gäller Datainspektionens tillsyn inom det internationella polis- och tullsamarbetet. Polis- och tullmyndigheter bör dock kunna betala för Datainspektionens renodlade inspektionsverksamhet som sker på plats hos den personuppgiftsansvarige enligt den avgiftsmodell utredningen presenterar, oavsett om den sker enligt personuppgiftslagen eller som ett led i arbetet med tillsyn över polis- och tullmyndigheternas behandling av personuppgifter enligt konventionerna om internationellt polis- och tullsamarbete.

BAKGRUNDEN TILL UTREDNINGENS FÖRSLAG

1. Uppdraget

1.1. Utredningens direktiv

Utredningen har i uppdrag att göra en översyn av Datainspektionens uppgifter och verksamhet mot bakgrund av personuppgiftslagen och den snabba tekniska utvecklingen. Syftet med uppdraget är att analysera behoven av förändringar i verksamhetsinriktning och arbetsformer och lämna de förslag som behövs när det gäller inriktning, omfattning och finansiering av den fortsatta verksamheten.

Den främsta anledningen till att översynen skall göras är den nya personuppgiftslagen (1998:204), som trädde i kraft den 24 oktober 1998 och som i fråga om automatiserad behandling av personuppgifter gäller fullt ut fr.o.m. den 1 oktober 2001. Genom lagen genomförde Sverige Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Utredningen skall analysera vilka krav som den nya personuppgiftslagen ställer på förändringar i Datainspektionens verksamhetsinriktning och arbetsformer.

Datainspektionen är central förvaltningsmyndighet med uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet. Datainspektionen är tillsynsmyndighet i Sverige med uppgift att övervaka tillämpningen av den nationella lagstiftningen till följd av dataskyddsdirektivet. Utredningen skall utvärdera den hittillsvarande tillsynsverksamheten samt se över i vilka former och med vilken inriktning en framtida effektiv och ändamålsenlig tillsyn bör bedrivas i anslutning till personuppgiftslagen.

Bland de frågor som utredningen enligt direktiven särskilt skall undersöka är de nya tillsynsuppgifter som successivt har tillförts Datainspektionen inom ramen för polis- och tullsamarbetet. Utredningen skall pröva vilken roll Datainspektionen i fortsättningen bör ha när det gäller denna form av tillsyn och hur den bör finansieras. Som utgångspunkt för utredningens överväganden i denna del gäller att tillsyns-

verksamheten skall säkerställa de tillsynsfunktioner som Sverige enligt de internationella konventioner som gäller på området är skyldigt att upprätthålla.

Datainspektionen är vidare tillstånds- och tillsynsmyndighet enligt kreditupplysningslagen (1973:1173) och inkassolagen (1974:182). Utredningen skall särskilt överväga om Datainspektionen även i fortsättningen skall ha dessa uppgifter eller om ansvaret kan överföras till någon annan myndighet, och i så fall föreslå vilken myndighet som bör ta över uppgifterna.

En annan fråga som utredningen skall analysera är den utveckling som pågår mot olika former av självreglering för att skydda den personliga integriteten framför allt i anslutning till den kraftigt ökande användningen av Internet. Det förutsätts i direktiven att en sådan självreglering utgör ett värdefullt komplement till personuppgiftslagen och kan bidra till ett förstärkt integritetsskydd. Utredningen skall överväga möjligheterna för Datainspektionen att mera aktivt stimulera utvecklingen av olika former av självreglering.

Utredningen skall också överväga om Datainspektionen bör ges ett tydligare ansvar för att aktivt följa teknikutvecklingen ur ett integritetsperspektiv och om ett sådant ansvar kräver förändringar i inspektionens kompetensprofil.

Datainspektionens verksamhet har tidigare kunnat finansieras genom det system med licensavgifter som tillämpades i anslutning till datalagen. I och med att datalagen upphävts och licenssystemet därmed upphört finns inte längre denna finansieringskälla. För att lösa den fortsatta finansieringen har utredningen därför fått i uppdrag att analysera möjligheterna att helt eller delvis finansiera den framtida verksamheten med avgiftsintäkter.

Direktiven i sin helhet framgår av bilaga 1.

1.2. Utredningsarbetet

Utredningens arbete har bedrivits med målsättningen att ta reda på vilken inriktning, omfattning och finansiering Datainspektionen skall ha i framtiden. Mot bakgrund av den begränsade utredningstiden har utredningen valt att i första hand skapa sig en bild av inspektionens verksamhet genom befintligt material i form av inspektionens egen dokumentation och beskrivningar av verksamheten i den mån sådana varit tillgängliga. Utredningen har också haft personliga kontakter med myndigheten och dess företrädare.

Som ett viktigt led i arbetet har utredningen vid olika tillfällen besökt Datainspektionen. Utredningens sekreterare har besökt Data-

inspektionen för att samla in grundläggande information om myndighetens hittillsvarande verksamhet. Härvid har bl.a. myndighetens verksamhetsberättelser, årsredovisningar, anslagsframställningar och budgetunderlag gåtts igenom. Utredaren och sekreteraren har vidare i möte med generaldirektören fått information om hur Datainspektionens verksamhet bedrivs, särskilt med inriktning på inspektionsverksamheten. Därutöver har ett av utredningens sammanträden med experter varit förlagt till Datainspektionen, där ett ömsesidigt utbyte av information och synpunkter mellan utredningen och Datainspektionens ledning, enhetschefer och företrädare för arbetstagarorganisationer ägde rum. Utredningen har också haft kontakter under hand med anställda på Datainspektionens olika sakenheter.

Enligt direktiven har det ålegat utredningen att ta kontakt med de myndigheter som på olika sätt berörs av de frågeställningar som uppdraget omfattar. Utredningen har därvid besökt Finansinspektionen, varvid särskilt frågor om avgiftsfinansiering samt tillstånd och tillsyn vad gäller kreditupplysnings- och inkassoverksamhet berördes.

Utredningen har genom en enkät ställd till Datainspektionens motsvarigheter i samtliga EU-länder samt Norge och Island, informerat sig om hur tillsynsverksamheten i anknytning till dataskyddsdirektivet bedrivs i övriga Europa. Även underhandskontakter med vissa av länderna har ägt rum. Dataskyddsmyndigheten i Nederländerna har särskilt bidragit med information som rör självreglering.

När det gäller frågor som rör finansieringen av Datainspektionens verksamhet har samråd skett under hand med en tjänsteman på Ekonomistyrningsverket.

Utredningen har även samrått med Tillsynsutredningen (Ju 2000:06).

2. Datainspektionens verksamhet och organisation

2.1. Översikt över Datainspektionens uppgifter

Enligt den ursprungliga regleringen av Datainspektionens verksamhet, förordning (1973:292) med instruktion för Datainspektionen, är inspektionen central förvaltningsmyndighet med uppgift att pröva frågor om tillstånd och utöva tillsyn enligt datalagen (1973:289).

Genom en ändring av instruktionen tillkom redan 1974 även ansvaret för tillstånd och tillsyn enligt kreditupplysningslagen (1973:1173) och inkassolagen (1974:182).

Därutöver har det sedan starten också ålegat Datainspektionen att särskilt följa utvecklingen i fråga om automatisk databehandling av personuppgifter och användningen av sådana uppgifter i kreditupplysnings- och inkassoverksamhet, att hos regeringen lägga fram förslag till åtgärder som är påkallade för att främja de syften inspektionen skall befordra och att inom sitt verksamhetsområde lämna myndigheter, organisationer och enskilda råd och upplysningar.

I samband med ändring av datalagen 1982 tillkom uppgiften att utfärda licens enligt datalagen.

Genom en ändring i instruktionen 1985 ålades Datainspektionen att fullgöra de skyldigheter som avses i artikel 13 i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter och som rör lämnande av uppgifter till den berörda myndigheten i en stat som är ansluten till konventionen.1 Enligt artikeln skall varje konventionsstat utse en eller flera myndigheter för samarbetet mellan parterna och även ange varje myndighets behörighet. De myndigheter som utses i de olika länderna skall tillhandahålla upplysningar om lagstiftning och administrativt förfarande inom dataskyddsområdet m.m.

1 SFS 1985:731.

Genom en ny ändring av instruktionen i februari 1987 preciserades Datainspektionens uppgifter med bestämmelsen att inspektionen skall verka för att automatisk databehandling av personuppgifter inte leder till otillbörligt intrång i enskildas personliga integritet och att god sed iakttas i kreditupplysnings- och inkassoverksamhet.2

Under 1988 tillkom också uppgiften för Datainspektionen att utöva tillsyn enligt lagen (1987:1231) om automatisk databehandling vid taxeringsrevision m.m. Sistnämnda lag upphävdes den 4 mars 1999 i samband med tillkomsten av den nya personuppgiftslagen.3

Mellan åren 1988 och 1998 har instruktionen ändrats i samband med organisationsförändringar inom Datainspektionen, se vidare avsnitt 2.2.

Enligt den nu gällande förordningen (1998:1192) med instruktion för Datainspektionen har inspektionen följande uppgifter. N Datainspektionen är central förvaltningsmyndighet med uppgift att

verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet. N Inspektionen skall särskilt inrikta sin verksamhet på att informera

om gällande regler samt ge råd och hjälp åt personuppgiftsombud enligt personuppgiftslagen. N Datainspektionen skall följa och beskriva utvecklingen på IT-

området när det gäller frågor som rör integritet och ny teknik. N Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen. N Datainspektionen är tillstånds- och tillsynsmyndighet enligt

kreditupplysningslagen (1973:1173) och inkassolagen (1974:182). N Datainspektionen är tillsynsmyndighet enligt artikel 28 i Europa-

parlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). N Datainspektionen fullgör de förpliktelser som nämns i artikel 13 i

Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter när det gäller att lämna uppgifter till behörig myndighet i en stat som är ansluten till konventionen. N Inspektionen är nationell tillsynsmyndighet enligt artikel 23 i

konventionen om upprättande av europeisk polisbyrå (Europolkonventionen), och enligt artikel 114 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 (Schengenkonventionen).

2 SFS 1987:17. 3Prop. 1998/99:34 s. 67 ff.

N Inom det internationella tullsamarbetet finns ett tullinformations-

system bestående av två deldatabaser. Tullinformationssystemet regleras av EG:s konvention om användning av informationsteknologi för tulländamål, den s.k. TIS-konventionen, respektive Rådets förordning (EG) 515/97 om ömsesidigt bistånd mellan medlemsstaternas administrativa myndigheter och om samarbetet mellan dessa och kommissionen för att säkerställa en korrekt tillämpning av tull- och jordbrukslagstiftningen. Det skall i varje medlemsstat utses en nationell tillsynsmyndighet som har ansvaret för dataskydd avseende personuppgifter som förs in i tullinformationssystemet. Enligt förordningen (1998:64) om tillämpning av Europeiska unionens tullinformationssystem är Datainspektionen svensk tillsynsmyndighet i anslutning till förordningen (EG) 515/97. Datainspektionen kommer att utses till nationell tillsynsmyndighet även enligt TIS-konventionen genom att denna uppgift förs in i myndighetens instruktion. Frågan handläggs för närvarande inom regeringskansliet.

2.2. Datainspektionens organisation

Datainspektionen leds av en generaldirektör som är chef för inspektionen och ansvarar för myndighetens verksamhet. Därutöver finns en styrelse med uppgifter enligt verksförordningen (1995:1322) och instruktionen för Datainspektionen.

Ledamöter av styrelsen är chefen för inspektionen, som också är styrelsens ordföranden, och åtta andra ledamöter. Styrelsen har bl.a. till uppgift att pröva om myndighetens verksamhet bedrivs effektivt och i överensstämmelse med syftet med verksamheten. Styrelsen skall biträda myndighetens chef och föreslå denne de åtgärder som styrelsen finner motiverade.

Antalet ledamöter i styrelsen har varierat under åren men har hela tiden uppgått till ca tio. Regeringen uttalade vid inrättandet av Datainspektionen att det var angeläget att styrelsemedlemmarna har nära kontakt med den allmänna opinionen genom arbete i riksdagen eller i någon större organisation. Vidare ansågs det lämpligt att ha en ledamot med särskild kunskap i datateknik och informationsbehandling samt att även personer med erfarenhet av offentlig förvaltning resp. enskild näringsverksamhet var företrädda i styrelsen. I dag finns åtta ledamöter som utses på förslag av riksdagspartierna. Samtliga riksdagspartier är representerade i Datainspektionens styrelse.

Enligt den första instruktionen för Datainspektionen skulle det inom myndigheten finnas två enheter, enheten för tillståndsärenden och

enheten för tillsynsärenden, samt ett sekretariat.4 För vardera enheten och för sekretariatet skulle det finnas en chef. På en av enhetscheferna låg uppgiften att vara ställföreträdare för chefen för inspektionen.

Under 1987 skedde den första förändringen av Datainspektionens ursprungliga organisation. I den ändrade instruktionen föreskrevs vad gäller de två sakenheterna att den ena skulle svara för inspektionens uppgifter ifråga om offentlig verksamhet och den andra för inspektionens uppgifter i fråga om enskild verksamhet.5 Dessutom skulle det finnas en administrativ enhet. Varje sakenhet skulle förestås av en byråchef, varav den ena även skulle vara generaldirektörens ställföreträdare.

Under 1990 tillkom genom en ändring av instruktionen en ny enhet inom Datainspektionen.6 De två sakenheterna och den administrativa enheten kompletterades med en teknisk enhet. Enheten fick bl.a. till uppgift att utgöra Datainspektionens tekniska stöd för den egna inspektionsverksamheten och att utföra tekniska analyser för att påverka leverantörer och andra att utveckla datorsystem där integritetsfrågor beaktades.

Nästa förändring av Datainspektionens organisation ägde rum den 1 juli 1994. I instruktionen för Datainspektionen föreskrevs härmed att inspektionen själv fick besluta om sin organisation.7 De enda krav som uppställdes var att det inom inspektionen skulle finnas en chef för tillstånds- och tillsynsverksamheten, som också skulle vara generaldirektörens ställföreträdare, och att det inom inspektionen skulle finnas en chefsjurist.

Enligt den nu gällande instruktionen för Datainspektionen gäller beträffande organisationen endast att det inom Datainspektionen skall finnas en chefsjurist.8 I övrigt beslutar inspektionen själv om sin organisation.

2.2.1. Datainspektionens organisation år 2001

Antalet anställda på Datainspektionen har under år 2001 varit i genomsnitt 39 personer. Flera anställningar är under tillsättning och i slutet av år 2001 kommer Datainspektionen att ha 43 personer anställda.

4 SFS 1973:292. 5 SFS 1987:17. 6 SFS 1989:1067. 7 SFS 1994:540. 8 SFS 1998:1192.

På generaldirektörens kansli arbetar åtta personer, på den juridiska avdelningen fem och på ekonomienheten fyra. Till tillstånds- och tillsynsenheten är för närvarande 16 personer knutna. Informationsenheten har fem personer anställda.

Datainspektionens organisationsstruktur

Styrelse

Generaldirektör GD:s Kansli

Tillstånds- och tillsynsenheten

Informationsenheten

Juridiska enheten

Ekonomienheten

Generaldirektörens kansli svarar för registratur, arkiv, vaktmästeri, personalfrågor, internt IT-stöd samt övrig allmän administration.

Kansliet består av en kanslichef och fem medarbetare samt två dataråd som arbetar med särskilda utredningsuppdrag och remisser.

Tillstånds- och tillsynsenheten handlägger ärenden enligt personuppgifts-, data-, inkasso- och kreditupplysningslagarna. Enheten handlägger inkomna klagomål, genomför inspektioner och följer upp tillsynsaktiviteter. Dessutom utarbetas förslag till föreskrifter och allmänna råd. Enheten består av en tillsynsdirektör som är chef för enheten, två dataråd varav en är ställföreträdande chef, fem avdelningsdirektörer, två IT-direktörer och en IT-inspektör samt sju handläggare/inspektörer.

Informationsenheten informerar myndigheter, företag, organisationer, personuppgiftsombud, media och allmänheten om integritets-

skyddsreglerna och Datainspektionens verksamhet. Informationsenheten arrangerar konferenser, föredrag, studiebesök, producerar en periodisk skrift samt ansvarar för inspektionens webbplats. Enheten består av en informationschef, en pressekreterare, en informatör och tre handläggare.

Juridiska enheten ansvarar för arbetet med inspektionens regelgivning och remissverksamhet. Enheten biträder inom myndigheten i juridiska frågor som är av principiell betydelse eller av särskilt komplicerad natur. Juridiska enheten svarar för bevakning och samordning av inspektionens internationella arbete. Enheten består av en chefsjurist, som också är generaldirektörens ställföreträdare, två dataråd, ett internationellt dataråd och en avdelningsdirektör med internationella uppgifter.

Ekonomienheten svarar för Datainspektionens budget- och ekonomiarbete, löneadministration samt inspektionens reception och telefonväxel. Enheten består av en ekonomichef och tre medarbetare.

2.2.2. Datainspektionens verksamhetsgrenar m.m.

Datainspektionens verksamhet har tidigare varit indelad i fem olika verksamhetsområden, tillsyn, information, regelgivning, tillstånd och internationell verksamhet. I enlighet med regleringsbrevet för år 2001 delas verksamheten numera in i tre verksamhetsgrenar: N tillsyn över behandlingen av personuppgifter (datalagen och

personuppgiftslagen) N tillsyn och tillståndsgivning inom kreditupplysnings- och inkasso-

verksamheten (kreditupplysnings- och inkassolagen) N tillsyn över personregister inom polis- och tullsamarbetet (Europol-,

Schengen- och tullinformationssystemet).

Vid sidan härav föreligger särskilda återrapporteringskrav för bl.a. regelgivningen, informationsverksamheten och den internationella verksamheten.

Tillsynen över behandlingen av personuppgifter

Datainspektionens tillsyn över behandling av personuppgifter sker genom fältinspektioner och skrivbordsinspektioner.

Tillsynsverksamheten i form av fältinspektioner är koncentrerad till att avse s.k. temainspektioner inom områden och branscher där det förekommer behandlingar av personuppgifter som från integritets-

synpunkt är känsliga. En temainspektion omfattar en bred och djup granskning av en särskild bransch eller sektor.

Därutöver sker tillsyn i särskilda fall efter t.ex. klagomål från enskilda eller uppgifter i massmedia. Vid några tillfällen per år koncentreras inspektionsverksamheten till en viss stad eller kommun utan att inspektionerna har något särskilt tema. Syftet härmed är att ge bredd åt inspektionsverksamheten och att se till att inspektionerna sprids över landet.

Mer om Datainspektionens inspektionsverksamhet i kapitel 4.

Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamheten

Datainspektionen prövar frågor om tillstånd och utövar tillsyn enligt kreditupplysningslagen och inkassolagen. Under år 2000 inspekterades bl.a. samtliga företag som bedriver tillståndspliktig kreditupplysning. Därutöver har Datainspektionen utfärdat föreskrifter om tillstånd enligt 2 § inkassolagen och allmänna råd om tillämpningen av inkassolagen.

Tillsyn över personregister inom polis- och tullsamarbetet

Datainspektionen är nationell tillsynsmyndighet och ingår i en gemensam tillsynsmyndighet enligt Europolkonventionen.

Datainspektionen skall kontrollera att utbyte av personuppgifter till och från Europol sker i enlighet med nationell lag och att enskildas rätt inte kränks.

Från och med mars 2001 är Sverige operativ medlem enligt Schengenkonventionen. Datainspektionen skall utöva tillsyn över det nationella registret i Schengens informationssystem (SIS) och ingår också i den gemensamma tillsynsmyndigheten, vars uppgift är att övervaka den för Schengenstaterna gemensamma tekniska funktionen. Inspektionen skall kontrollera att behandling och utnyttjande av uppgifter som upptagits i SIS inte skadar den enskildes rättigheter.

Datainspektionen har vidare medverkat i det förberedelsearbete som pågått för att inrätta en gemensam tillsynsmyndighet för ett informationssystem för tullsamarbete (TIS) och förväntas bli nationell tillsynsmyndighet inom systemet.

Regelgivning

Datainspektionen utarbetar egna författningar med generella föreskrifter och allmänna råd. Datainspektionens föreskrifter ges ut i Datainspektionens författningssamling (DIFS). Dessutom ger inspektionen som remissinstans synpunkter på utredningsbetänkanden och förslag från regeringen.

Vanligt förekommande är även s.k. delningar av t.ex. utkast till lagrådsremisser, propositioner och förordningar för synpunkter under hand. Datainspektionen deltar också i kommittéer, arbetsgrupper och annat utredningsarbete. I inspektionens uppgifter ingår vidare att bedöma s.k. branschöverenskommelser enligt 15 § personuppgiftsförordningen (1998:1191).

Information

Informationsverksamheten syftar till att sprida kunskap om integritetsskyddsreglerna till allmänheten, företag, myndigheter, organisationer och massmedia. Sedan tillkomsten av personuppgiftslagen har som särskild målgrupp för Datainspektionens informationsverksamhet tillkommit de s.k. personuppgiftsombuden.

Datainspektionens informationsspridning sker genom t.ex. föreläsningar och konferenser, hos olika myndigheter och företag eller genom egen försorg.

Datainspektionen har en egen webbplats där nyhetsnotiser läggs ut och frågor besvaras. Inspektionens call-center är bemannat med två jurister som besvarar frågor via telefon och e-post.

Datainspektionen lanserade under år 2000 även en egen periodisk skrift, magazin DIrekt, med reportage, nyheter och kommentarer i anslutning till Datainspektionens intresseområden.

Internationellt

Utöver det internationella arbetet inom ramen för Europol-, Schengen- och TIS-konventionerna ingår Datainspektionen i den s.k. 29-gruppen. Detta är en arbetsgrupp som har inrättats med stöd av dataskyddsdirektivet och vari företrädare för EU-staternas nationella tillsynsmyndigheter ingår. Gruppen skall bl.a. se till att direktivet tillämpas enhetligt i de olika medlemsstaterna, avge yttranden till kommissionen om skyddsnivån i olika länder utanför EU samt ge råd till kommissionen i fråga om förslag till ändringar i direktivet.

Vidare sker samarbete genom att cheferna för de olika dataskyddsmyndigheterna runt om i världen träffas för att diskutera dataskyddsfrågor. Detta sker varje år vid ett internationellt datachefsmöte, ett EUdatachefsmöte samt ett nordiskt datachefsmöte.

Verksamheten i siffror

I bilaga 4 redovisas Datainspektionens verksamhet 2000-07-01– 2001-06-30 i timmar och procent fördelade på olika områden.

3. Datainspektionens ansvarsområden

I kapitel 2 beskriver utredningen de uppgifter Datainspektionen har enligt sin instruktion och inom vilka verksamhetsområden myndigheten arbetar. I kapitel 3 är det utredningens avsikt att närmare belysa Datainspektionens uppgifter genom att beskriva myndighetens ansvarsområden utifrån de författningar inspektionen har att tillämpa i sin verksamhet. Dessa regelområden utgör grunden för Datainspektionens ansvar, uppgifter och befogenheter. Syftet med kapitel 3 är således att beskriva den miljö Datainspektionen verkar i.

Datainspektionens verksamhet kännetecknas av att myndigheten har ett omfattande och i flera avseenden komplext regelverk att tillämpa. Härtill kommer att myndigheten skall värna om skyddet för den personliga integriteten vilket är ett diffust och i många sammanhang svårdefinierat begrepp. Utredningen återkommer till begreppet personlig integritet i kapitel 6.

Datainspektionens ansvarsområden regleras av många olika författningar, från den generella lagstiftningen om behandling av personuppgifter i personuppgiftslagen till de olika särskilda registerförfattningar som reglerar viktigare register inom det offentliga området. Datainspektionen har i anslutning till sin uppgift att värna om skyddet för den personliga integriteten även särskilda uppgifter enligt kreditupplysnings- och inkassolagarna. Myndigheten har emellertid inte bara det nationella regelsystemet att beakta utan har också uppgifter till följd av Sveriges åtaganden enligt internationella konventioner och inom ramen för EU. Här märks särskilt Datainspektionens uppgift som tillsynsmyndighet inom det internationella polis- och tullsamarbetet. Dessa Datainspektionens ansvarsområden beskrivs alla i förevarande kapitel.

Även om datalagen numera har upphört att gälla inleds kapitel 3 med en översiktlig beskrivning av denna lag. Avsikten härmed är att teckna en bakgrund till dataskyddslagstiftningen och varför det har ansetts angeläget att ha en särskild reglering till skydd för den personliga integriteten i samband med automatiserad behandling av personuppgifter. Datalagens utveckling och övergången till personuppgiftslagen är också av väsentlig betydelse för de förändringar som skett i Datainspektionens verksamhet.

Det bör vidare betonas att det finns lagstiftning som inte kommer att beröras närmare i detta sammanhang men som ändå är av stor betydelse för Datainspektionen, eftersom inspektionen har att tillämpa denna i sin verksamhet. Detta gäller i första hand lagar och andra författningar som direkt eller indirekt reglerar myndigheters hantering av personuppgifter. Gemensamt för dessa är att de skall tillgodose viktiga samhällsintressen av olika slag, t.ex. den enskildes insynsrätt enligt tryckfrihetsförordningen och skyddet för ömtåliga uppgifter om enskilda enligt sekretesslagen. Sekretesslagstiftningen och regler om tystnadsplikt har stor betydelse för skyddet för den personliga integriteten. Denna lagstiftning ger även viss uppfattning om vilken information som i olika situationer skall betraktas som känslig. I 8 § personuppgiftslagen finns en bestämmelse som klargör att reglerna i 2 kap. tryckfrihetsförordningen om utlämnande av allmänna handlingar tar över bestämmelserna i lagen, och i 7 § finns motsvarande erinran beträffande bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

3.1. Datalagen

3.1.1. Bakgrunden till datalagstiftningen

När den nya datorteknikens inverkan på samhället började diskuteras under slutet av 1960-talet var det i första hand dess inverkan på offentlighetsprincipen och de allmänna handlingarnas offentlighet som kom att ställas i fokus. Debatten gällde då om de maskinläsbara medierna skulle jämställas med handlingar i vanlig bemärkelse och således även de omfattas av reglerna i tryckfrihetsförordningen. Frågan löstes dock med tiden genom rättstillämpning och lagstiftning på sådant sätt att offentlighetsprincipen nu omfattar inte bara handlingar av traditionellt slag utan även tekniska upptagningar.

Först något senare började frågor med direkt anknytning till skyddet för den personliga integriteten att bli aktuella. Mot bakgrund av de möjligheter att hantera information som den nya tekniken erbjöd medförde bland annat farhågorna inför 1970 års folk- och bostadsräkning att diskussionen även kom att omfatta vilken uppgiftsinsamling från medborgarna som myndigheterna skulle tillåtas att göra och vad de insamlade uppgifterna skulle få användas till. De nya möjligheterna ansågs påtagligt öka myndigheternas makt över de enskilda och därmed även risken för intrång i den personliga integriteten.

Debatten ledde så småningom fram till en ganska enhetlig syn på integritetsfrågorna och nödvändigheten av en särskild lagstiftning till

skydd för den personliga integriteten vid automatisk databehandling (ADB) av personuppgifter.

Således tillsattes i april 1969 Offentlighets- och sekretesslagstiftningskommittén (OSK), med uppgift att utreda frågor om offentlighet och sekretess beträffande allmänna handlingar m.m. Särskild uppmärksamhet skulle ägnas åt hur offentlighetsprincipen skulle tillämpas på information som tagits upp i annan form än som text eller bild. I första hand avsågs härvid upptagningar för (ADB).

Genom tilläggsdirektiv år 1971 utökades OSK:s uppdrag till att även avse de effekter på enskildas integritet som den nya tekniken kunde medföra. Härigenom kom utredningens uppdrag att omfatta hela frågan om lagstiftning rörande personorienterad ADB-information.

I delbetänkandet Data och integritet (SOU 1972:47) redovisade OSK i juni 1972 bl.a. ett förslag till datalag. Utgångspunkten för kommitténs förslag var att den enskilde – med de begränsningar som följer av samhällsgemenskapens krav – bör ha tillgång till en fredad sektor, inom vilken han eller hon skall kunna avvisa otillbörlig inblandning från det allmänna eller andra. Utredningen föreslog att ett tillståndstvång för automatisk databehandling av personuppgifter skulle införas, att personregistren skulle underkastas en fortlöpande tillsyn och att dessa uppgifter skulle anförtros en självständig myndighet kallad Datainspektionen.

3.1.2. Allmänt om lagen och dess tillämpningsområde

Datalagen antogs av riksdagen under våren 1973 och trädde i kraft den 1 juli samma år. Ett år senare trädde systemet med tillstånd för personregister som förs med hjälp av ADB i kraft. Lagens regelsystem innebar i huvudsak att alla typer av personregister som fördes med hjälp av ADB i princip inte fick inrättas eller föras utan tillstånd av Datainspektionen. Bestämmelserna gällde även redan befintliga register. För register som inrättats genom beslut av riksdagen eller regeringen krävdes dock inte tillstånd.

I enlighet med föreskrifter i lagen inrättades Datainspektionen den 1 juli 1973. Inspektionen fick som central förvaltningsmyndighet till uppgift att pröva frågor om tillstånd och utöva tillsyn enligt datalagen, och sedermera även kreditupplysningslagen och inkassolagen.

Sverige var ett av de länder där frågan om skyddet för privatlivet vid ADB-registrering allra tidigast uppmärksammades. När datalagen antogs 1973 var den inte bara en nyhet på sitt område för svenskt vidkommande utan också en internationell nymodighet. I flera europe-

iska länder antogs under åren därefter datalagstiftning som i varierande grad liknade den svenska. I samband härmed inleddes också ett internationellt samarbete, inom bl.a. Europarådet och OECD, i avsikt att skydda den personliga integriteten från otillbörligt intrång vid automatisk databehandling av personuppgifter.

Redan vid tillkomsten av datalagen gjordes flera uttalanden om att lagen inom en ganska snar framtid kunde behöva ändras och kompletteras. Under 1970-talet började man också diskutera införandet av en generell personregisterlagstiftning. Man insåg redan då att det med den snabba tekniska utvecklingen skulle bli allt svårare att tillämpa datalagen som var begränsad till användningen av ADBteknik. Det fanns också skäl att räkna med nya tillämpningsområden för datateknik vilka inte nödvändigtvis skulle vara farliga från integritetssynpunkt.

Redan i mars 1976 tillsattes en kommitté, Datalagstiftningskommittén (DALK), för att göra en allmän översyn av datalagen. I uppdraget ingick också att överväga den rättsliga regleringen av skyddet för den personliga integriteten i samband med registrering i personregister och att utreda dels datoriseringens sätt att påverka offentlighetsprincipen, dels utnyttjandet av datorer inom administration och näringsliv som en internationell företeelse.

Kommitténs arbete resulterade i betänkandet Personregister – Datorer – Integritet (SOU 1978:54). DALK föreslog bl.a. att i vissa fall ersätta kravet på tillstånd med ett anmälningsförfarande. Som en följd av kommitténs översyn av datalagen gjordes vissa smärre ändringar som trädde i kraft den 1 juli 1979.1 Bland annat undantogs från tillståndskravet personregister som fördes med viss bestämd utrustning om det med hänsyn till utrustningens art och till utförandet av den automatiska databehandlingen framstod som uppenbart att otillbörligt intrång i registrerads personliga integritet inte skulle uppkomma. En annan nyhet var att reglerna om den registeransvariges underrättelseskyldighet till enskild preciserades. Någon mera genomgripande förändring av de grundläggande principerna för tillståndsförfarandet blev det emellertid inte, och något anmälningssystem kom inte heller att införas.

I februari 1980 avlämnade DALK promemorian Författningsreglering av Statens adress- och personregister (SPAR) m.m. (Ds Ju 1979:19). Förslagen i promemorian ledde till att grundläggande regler om SPAR togs in i datalagen, vilka kompletterades med en särskild registerförordning om SPAR.2 Lagstiftningen innebar att alla som

1Prop. 1978/79:109, SFS 1979:334. 2Prop. 1980/81:62, SFS 1980:1074.

begärde att få uppgifter ur en myndighets personregister för ett sådant ändamål som kunde tillgodoses genom SPAR skulle hänvisas till detta register. År 1981 ändrades också reglerna om registrerads rätt till insyn i personregister enligt 10 § datalagen.3

De grundläggande principerna för tillståndsförfarandet kvarstod oförändrade under hela 1970-talet. DALK hade i betänkandet kommit till slutsatsen att man borde överväga att på sikt införa en generell personregisterlagstiftning, vilken uppfattning regeringen delade. I mars 1980 fick också DALK genom tilläggsdirektiv i uppdrag att utreda om en generell personregisterlagstiftning, som inte i första hand var inriktad på registertekniken, borde ersätta datalagen på längre sikt.

Det visade sig dock snart att det fanns behov av att vidta vissa åtgärder för att reformera Datainspektionens verksamhet redan på kort sikt, vilket bl.a. Datainspektionen själv påpekade. Genom ytterligare tilläggsdirektiv i december 1980 fick DALK därför i uppdrag att med förtur undersöka möjligheterna att bl.a. begränsa tillståndsplikten.

I augusti 1980 lämnade DALK promemorian Tillstånd och tillsyn enligt datalagen – förslag och åtgärder på kort sikt m.m. (Ds Ju 1981:15 och 16). I promemorian lämnades förslag på åtgärder som skulle göra att Datainspektionens resurser kunde användas mer effektivt och därmed skapa möjlighet till en omprioritering av verksamheten. Avsikten var att Datainspektionen skulle kunna koncentrera sina resurser på sådant som verkligen var betydelsefullt från integritetsskyddssynpunkt, och att man skulle förenkla förfarandet för de registeransvariga. DALK förordade en ordning som byggde på att tillståndsplikten begränsades till särskilt integritetskänsliga register och att det för övriga register skulle vara tillräckligt med en anmälan.

DALK:s förslag ledde till betydande ändringar i datalagen, vilka trädde i kraft den 1 juli 1982.4 Ändringarna innebar att kravet på tillstånd för att föra personregister begränsades till register som innehåller särskilt integritetskänsliga uppgifter, t.ex. uppgifter om sjukdomar, brott, politisk uppfattning och religiös tro eller uppgifter som innehåller omdömen om den registrerade.

För de personregister som inte var tillståndspliktiga kom i stället att gälla att dessa inte fick föras utan att en anmälan gjorts till Datainspektionen och att inspektionen på grund av anmälan utfärdat en licens. En sådan licens berättigade den registeransvarige att föra ett eller flera personregister som inte omfattades av tillståndsplikten. Ansökan om licens var av enkel beskaffenhet och blev inte föremål för någon materiell prövning hos Datainspektionen.

3Prop. 1980/81:20 bil. 1, SFS 1980:1025. 4Prop. 1981/82:189, SFS 1982:446.

Vissa nya regler om vad alla registeransvariga, oavsett tillståndsplikt, måste iaktta infördes. De registeransvariga ålades också att föra en förteckning över sina personregister. Personregister som fördes av enskilda och uteslutande för privat bruk undantogs från anmälningsskyldigheten och tillståndsplikten.

Eftersom någon enighet inom kommittén inte kunde uppnås i frågan om en generell personregisterlag, beslutade regeringen sedermera att DALK:s arbete skulle upphöra i maj 1984 och en ny kommitté tillsättas, Data- och offentlighetskommittén (DOK). Denna fick i uppdrag att utreda användningen av personnummer inom den offentliga sektorn och de problem som är förknippade med offentlighetsprincipens tillämpning på ADB-upptagningar.

DOK lämnade sammanlagt fyra betänkanden och en promemoria om integritetsskyddet i informationssamhället.5 Förslagen i betänkandena ledde dock endast till vissa mindre ändringar i datalagen, bl.a. om ökat ansvar för den registeransvarige att rätta felaktiga uppgifter i ett personregister.6 DOK avslutade sitt arbete och lämnade sitt slutbetänkande i januari 1989.

I maj 1989 tillsattes en ny utredning med uppdrag att göra en översyn av datalagen från såväl saklig som lagteknisk synpunkt. Utredningen, som påbörjade sitt arbete i november 1989, antog namnet Datalagsutredningen. I delbetänkandet Skärpt tillsyn – huvuddrag i en reformerad datalag (SOU 1990:61) redovisade utredningen överväganden och förslag om principiella utgångspunkter för en framtida datalag.

I en andra etapp behandlade utredningen vissa frågor som rörde integritetsskyddet i samband med personregistrering och automatisk databehandling inom områdena för forskning och statistik samt för massmediernas och arbetslivets del. Övervägandena i denna del redovisades i april 1991 i betänkandet Personregistrering inom arbetslivs-, forsknings- och massmediaområdena m.m. (SOU 1991:21).

I ett tredje delbetänkande, Vissa särskilda frågor beträffande integritetsskyddet på ADB-området (SOU 1991:62), behandlade utredningen framför allt begreppen personregister och registeransvarig, liksom frågor om straff och skadestånd samt fullföljd mot Datainspektionens beslut.

I sitt slutbetänkandet En ny datalag (SOU 1993:10) redovisade Datalagsutredningen ett förslag till ny datalag. Innehållet i Datalagsutredningens förslag var sammanfattningsvis följande. Utredningen föreslog att datalagens tillämpningsområde skulle ändras från att knyta

5SOU 1986:24, SOU 1986:46, Ds Ju 1987:8, SOU 1987:31 och SOU 1988:64. 6Prop. 1986/87:116, SFS 1987:990.

an till begreppet personregister till att omfatta varje behandling av personuppgifter med hjälp av automatisk databehandling. Lagen skulle i princip enbart gälla behandling som sker med hjälp av automatisk databehandling men i vissa fall även omfatta manuella hanteringar, eftersom det föreslogs att begreppet behandling skulle innefatta även insamling av personuppgifter som avses bli föremål för automatisk databehandling.

Tillståndsförfarandet enligt datalagen borde enligt utredningen avskaffas och förutsättningarna för att få behandla personuppgifter skulle framgå direkt av lagen. Enligt utredningen skulle det i stället för tillstånd krävas en anmälan till Datainspektionen för behandling av känsliga personuppgifter. Anmälningarna skulle sedan ligga till grund för inspektionens tillsynsverksamhet. Anmälningsavgifterna skulle dessutom finansiera inspektionens verksamhet. Detta medförde i sin tur enligt utredningen att man direkt i lagen måste ta in tydliga och utförliga bestämmelser som reglerar behandlingen av personuppgifter för att det skulle bli möjligt för en enskild att avgöra om den behandling som planeras eller utförs uppfyller lagens krav eller ej.

Definitionen av begreppet personuppgift skulle enligt förslaget anpassas bättre till internationella regler. Bestämmelserna om vem som är persondataansvarig borde enligt utredningen utformas på ett sådant sätt att det blev lättare att avgöra hos vem ansvaret låg.

All behandling av personuppgifter skulle, liksom tidigare, ha anknytning till ett visst ändamål för att vara tillåten. Särskilda regler skulle gälla för känsliga personuppgifter. Eftersom tillståndsförfarandet skulle slopas, föreslog utredningen att det i stället skulle tas in en bestämmelse i datalagen, som gav regeringen möjlighet att delegera till Datainspektionen att meddela närmare föreskrifter om tillämpningen av datalagen inom olika branscher eller sektorer.

Vid denna tidpunkt pågick inom EG ett arbete med att ta fram ett direktiv om dataskydd. Strävan var att komma fram till en enhetlig nivå på integritetsskyddet inom hela EG. Det första förslaget som lades fram i september 1990 hade dock mötts av mycket hård kritik. EGkommissionen lade därför i oktober 1992 fram ett nytt förslag till direktiv om skydd för enskilda vid behandling av personuppgifter och om det fria flödet för sådana uppgifter. Förslaget var fortfarande under beredning inom en arbetsgrupp under ministerrådet när Datalagsutredningen lade fram sitt slutbetänkande med förslag till ny datalag. Osäkerheten var fortfarande mycket stor om hur direktivet slutligen skulle utformas och det fanns hos medlemsländerna olika uppfattningar om behovet av att anta ett direktiv på området. För Sveriges del gällde att redan ett deltagande i Europeiska ekonomiska samarbetsområdet

(EES) medförde en skyldighet att ha motsvarande reglering som ett eventuellt EG-direktiv på området.

Det rådde stor enighet bland remissinstanserna om att det behövdes en ny datalag och att tillståndssystemet borde avskaffas till förmån för ett renodlat tillsynsförfarande. Huvuddelen av remissinstanserna ansåg dock att en ny lag borde avvakta det kommande EG-direktivet, och så blev också fallet. Datalagsutredningens förslag kom aldrig att leda till någon ny datalag.

Regeringen konstaterade att om förslaget genomfördes fanns det en risk för att Sverige skulle besluta om en ny datalag ganska kort tid innan man visste hur EG skulle agera på området, vilket i sin tur kunde leda till behov av ändrade regler inom en relativt nära framtid. Att kort tid efter införandet av en ny datalag på nytt genomföra stora ändringar ansågs inte försvarbart. Regeringen ansåg därför att frågan om att stifta en ny datalag borde anstå till dess ett slutligt ställningstagande av EG var för handen.

Regeringen stannade i stället för att i anledning av Datalagsutredningens slutbetänkande föreslå att Datainspektionens tillståndsprövning skulle minskas genom att inspektionen gavs möjlighet att utfärda generella bransch- och sektorsföreskrifter. Genom en ändring i regeringsformen öppnades en möjlighet för regeringen att efter bemyndigande i lag delegera normgivningskompetensen i fråga om ADB-behandling av personuppgifter till Datainspektionen.7 En bestämmelse härom togs också in i datalagen.

I övrigt genomfördes endast vissa mindre ändringar i datalagen som byggde på Datalagsutredningens arbete i avvaktan på att frågan om en ny datalag kunde beredas vidare. Register som fördes i enlighet med Datainspektionens föreskrifter om personregister inom bestämda verksamheter undantogs från tillståndsplikt. Skyldigheten att begära Datainspektionens yttrande inför inrättandet av personregister som beslutas av riksdag eller regering avskaffades, men förutses ändå fortsätta med hänsyn till kravet på beredning av regeringsärenden. Datainspektionen gavs möjlighet att förena föreskrifter och förbud med vite.

Vidare skulle i fortsättningen Datainspektionens beslut enligt datalagen inte överklagas till regeringen utan till allmän förvaltningsdomstol. Reglerna trädde i kraft den 1 januari 1995.8

7Prop. 1994/94:116, SFS 1994:1480 och 1994:1485. 8Prop. 1993/94:217, SFS 1994:1485.

3.2. Internationella konventioner

3.2.1. Dataskyddskonventionen

Internationella riktlinjer har meddelats för automatisk databehandling av personuppgifter. Bestämmelser av betydelse finns i bl.a. Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen).

Konventionens innehåll kan ses som en precisering av skyddet vid användning av automatisk databehandling enligt artikel 8 i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen). Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna.

Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste uppfylla i sin nationella lagstiftning. Personuppgifter som är föremål för automatisk databehandling skall hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Uppgifterna måste vara relevanta för och förenliga med ändamålen. Vidare måste uppgifterna vara riktiga och aktuella och uppgifterna får inte bevaras längre än vad som är nödvändigt för ändamålen. Vissa personuppgifter får behandlas endast om den nationella lagen ger ett ändamålsenligt skydd. Till sådana personuppgifter hör uppgifter om enskildas ras, politiska tillhörighet, religiösa tro eller övertygelse i övrigt, hälsa eller sexualliv eller uppgifter som hänför sig till misstanke om brott och dom för brott.

För att skydda personuppgifter mot avsiktlig eller otillåten förstörelse m.m. föreskriver konventionen att lämpliga skyddsåtgärder skall vidtas. Vidare skall den registrerade ha möjligheter till insyn i register och till att få uppgifter rättade. I vissa fall får undantag göras från bestämmelserna om uppgifternas beskaffenhet och rätten till insyn. Sådana inskränkningar i den enskildes skydd förutsätter stöd i den nationella lagstiftningen och att inskränkningen är nödvändig i ett demokratiskt samhälle för vissa ändamål, t.ex. statens penningintressen och brottsbekämpning samt för att skydda enskildas fri- och rättigheter.

Dataskyddskonventionens roll som riktmärke för automatiserad behandling av personuppgifter övertas i princip av dataskyddsdirektivet i och med att detta införlivas i EU-ländernas nationella lagstiftningar. Direktivet behandlas närmare i avsnitt 3.2.3.

Under år 2001 har Europarådets ministerkommitté antagit ett tilläggsprotokoll till dataskyddskonventionen. Tilläggsprotokollet har

öppnats för undertecknande. Det innehåller bestämmelser om dataskyddsmyndigheter och överföring av personuppgifter mellan länder.

3.2.2. Riktlinjer från OECD

Internationella riktlinjer för integritetsskydd och persondataflöde har även utarbetats inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Ett antal internationella organisationer och företag har antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som återfinns i dataskyddskonventionen och redovisas inte närmare här. Det bör tilläggas att år 1998 antogs OECD:s ministerdeklaration ”Protection of Privacy on Global Networks”, som innebär att man slår fast intentionen att i ett internationellt perspektiv harmonisera de regler som bör gälla för hantering av personuppgifter i globala nätverk, för att skydda den personliga integriteten.

3.2.3. Dataskyddsdirektivet

Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Syftet med direktivet är att garantera dels en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater, så att staterna inte skall kunna hindra det fria flödet mellan dem av personuppgifter under hänvisning till enskilda personers fri- och rättigheter.

Dataskyddsdirektivet är bindande för medlemsstaterna i fråga om det resultat som skall uppnås. Direktivet måste införlivas i den nationella lagstiftningen. Medlemsstaterna bestämmer själva på vilket sätt direktivet skall införlivas, men är därvid starkt bundna av direktivets innehåll. Medlemsstaterna får inte föreskriva ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som är tillåtet enligt dataskyddsdirektivet.

Tillämpningsområde

Dataskyddsdirektivet handlar om fysiska personers skydd. Skyddet för juridiska personer berörs inte av direktivet. Inte heller berörs sådan verksamhet som faller utanför gemenskapsrätten, däribland verksamhet som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område.

Dataskyddsdirektivet omfattar inte bara helt eller delvis automatiserad behandling utan också manuell behandling av personuppgifter, dock endast behandling av uppgifter som ingår eller kommer att ingå i ett register. Utanför tillämpningsområdet faller t.ex. ostrukturerade akter. Kriterierna för när uppgifterna är så strukturerade att fråga är om ett manuellt register bestäms inte i direktivet, utan kan utformas av varje enskild medlemsstat. Dataskyddsdirektivet omfattar inte behandling av personuppgifter för privat bruk, oavsett om behandlingen är automatiserad eller manuell.

Bestämmelser om när personuppgifter får behandlas

Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen skall vara uttryckligen angivna vid tiden för insamling av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.

Personuppgifter får enligt direktivet behandlas bara i vissa fall. Uppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgörande av avtal där den registrerade är part. Behandling får också ske om det är nödvändigt för att fullgöra en rättslig förpliktelse, som åvilar den registeransvarige, eller för att skydda vitala intressen för den registrerade. Vidare får behandling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt intresse eller utgör ett led i myndighetsutövning. Slutligen får personuppgifter behandlas efter en intresseavvägning, nämligen om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas.

Vissa särskilda i direktivet angivna kategorier av uppgifter får inte behandlas utan uttryckligt samtycke av den registrerade. Det gäller sådana uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i

fackförening samt uppgifter som rör hälsa och sexualliv. I vissa, särskilt angivna, undantagsfall får dock sådan behandling ske även utan den enskildes samtycke, t.ex. när behandling av sådana uppgifter är nödvändig för åtgärder inom hälso- och sjukvård eller liknande. Medlemsländerna får under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse besluta om andra undantag än de som anges i direktivet.

Information och rättelse

Dataskyddsdirektivet föreskriver att den registeransvarige skall informera den registrerade om att personuppgifter är föremål för behandling och därvid redogöra för ändamålet med behandlingen. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige inte lämna någon information, om det skulle visa sig vara omöjligt eller innebära en ansträngning som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Vidare har den registrerade rätt att få sådana uppgifter som inte har behandlats i enlighet med direktivet rättade, utplånade eller blockerade. Om en uppgift rättas skall den registeransvarige underrätta tredje man som fått del av den felaktiga uppgiften. Underrättelse behövs dock inte i de fall där sådan är omöjlig eller förenad med en oproportionerligt stor arbetsinsats.

Medlemsstaterna får föreskriva begränsningar i fråga om vissa skyldigheter och rättigheter, bl.a. informationsskyldigheten och rättigheten att på begäran få tillgång till uppgifter. En sådan begränsning måste dock vara en nödvändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. intresset av att undersöka, avslöja och åtala för brott samt skyddet av den registrerades eller andras fri- och rättigheter.

Till skydd för den registrerade innehåller direktivet även bestämmelser om säkerhet vid behandlingen. Genom lämpliga tekniska och organisatoriska åtgärder skall den registeransvarige skydda personuppgifter mot otillåten behandling samt mot förstöring, förlust, ändring eller otillåten spridning.

Tillsynsmyndighet

Enligt dataskyddsdirektivet skall varje medlemsstat tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av direktivet. Dessa myndigheter skall fullständigt oberoende

utöva de uppgifter som åläggs dem. Datainspektionen har utsetts till sådan tillsynsmyndighet i Sverige.

Tillsynsmyndigheten skall höras när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter. Varje tillsynsmyndighet skall ha undersökningsbefogenheter, såsom befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen, effektiva befogenheter att ingripa och befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av direktivet har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser.

Var och en skall, på egen hand eller företrädd av en organisation, kunna vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter.

De övervakande myndigheterna i de olika medlemsstaterna skall i den utsträckning som det behövs samarbeta med varandra, särskilt genom att utbyta användbar information. Med stöd av artikel 29 i direktivet har en rådgivande och oberoende arbetsgrupp för skydd av enskilda med avseende på behandling av personuppgifter inrättats. Arbetsgruppen är sammansatt av en företrädare för den eller de tillsynsmyndigheter som utsetts av varje medlemsstat, av en företrädare för den eller de myndigheter som har inrättats för gemenskapens institutioner och organ samt av en företrädare för kommissionen.

Arbetsgruppen skall utreda varje fråga som rör tillämpningen av de nationella bestämmelser som antagits för genomförandet av direktivet för att bidra till en enhetlig tillämpning av bestämmelserna, yttra sig till kommissionen om skyddsnivån inom gemenskapen och i tredje land, ge kommissionen råd om varje föreslagen ändring av direktivet, om vilka ytterligare eller särskilda åtgärder som bör vidtas för att skydda fysiska personers fri- och rättigheter med avseende på behandling av personuppgifter och om alla andra föreslagna gemenskapsåtgärder som rör sådana fri- och rättigheter, och avge yttranden om de uppförandekodexar som utarbetas på gemenskapsnivå.

I dataskyddsdirektivet föreskrivs ett relativt omfattande anmälningsförfarande till tillsynsmyndigheten när det gäller helt eller delvis automatiserad behandling av personuppgifter. För icke-automatiserade behandlingar får medlemsländerna föreskriva ett förenklat anmälningsförfarande. Undantag från anmälningsplikt alternativt tillämpning av ett förenklat anmälningsförfarande får också föreskrivas dels om det med hänsyn till de behandlade uppgifterna inte är sannolikt att den

registrerades fri- eller rättigheter kränks, dels om den registeransvarige har utsett uppgiftsskyddsombud.

Överföring av personuppgifter till tredje land

Direktivet syftar till ett fritt flöde av personuppgifter mellan medlemsländerna. Som huvudregel gäller att överföring av personuppgifter som är under behandling, eller är avsedda att behandlas efter överföringen, till ett land utanför unionen (tredje land), får ske endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå. Vad som är en adekvat skyddsnivå får avgöras med hänsyn tagen till bl.a. de uppgifter som skall behandlas och ändamålet med behandlingen.

I vissa fall får personuppgifter föras över till länder vars lagstiftning i och för sig inte erbjuder en adekvat skyddsnivå. Det gäller bl.a. om den registrerade går med på att överföring sker eller om överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen. Exempel på det sistnämnda är vissa överföringar vid internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter.

Medlemsländernas nationella lagstiftning

Dataskyddsdirektivet skall vara införlivat i medlemsländernas nationella lagstiftningar senast den 24 oktober 1998. När det gäller sådan behandling av personuppgifter som pågick vid den tidpunkten, skall denna bringas i överensstämmelse med direktivet senast tre år därefter. I fråga om manuella register gäller dock en övergångstid om tolv år. För Sveriges del har införlivande av direktivet skett genom personuppgiftslagen, som trädde i kraft just den 24 oktober 1998. Enligt övergångsbestämmelserna till lagen skall dock äldre lagstiftning, datalagen, tillämpas i sådana fall och under de tider som anges i dataskyddsdirektivet i fråga om bl.a. pågående behandling av personuppgifter (se avsnitt 3.3.10).

3.3. Personuppgiftslagen

Med anledning av att dataskyddsdirektivet skulle antas, beslutade regeringen i juni 1995 att tillsätta Datalagskommittén. Kommitténs uppgift var att göra en total revision av datalagen och utreda på vilket

sätt direktivet skulle införlivas i svensk rätt. Uppdraget redovisades i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39). Personuppgiftslagen (1998:204) bygger i allt väsentligt på det förslag som lades fram i betänkandet.

3.3.1. Allmänt om lagen och dess tillämpningsområde

Dataskyddsdirektivet bygger på att själva hanteringen av personuppgifter regleras. Personuppgiftslagen följer direktivets struktur och avvikelser görs endast när det finns särskilda skäl för det. I likhet med direktivet reglerar personuppgiftslagen själva hanteringen av personuppgifter och inte bara missbruk av sådana uppgifter. Det innebär att behandling av personuppgifter som inte sker med stöd av personuppgiftslagen är otillåten.

Personuppgiftslagen är utformad så att den är teknikoberoende. Den tillämpas på all – helt eller delvis – automatiserad behandling av personuppgifter. Dessutom är lagen tillämplig på manuell behandling av personuppgifter som ingår, eller är avsedda att ingå, i en strukturerad samling av personuppgifter vilka är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §).

Personuppgiftslagen är mer generell än dataskyddsdirektivet och omfattar även sådan verksamhet som faller utanför gemenskapsrätten, t.ex. polisen och försvaret. Dock omfattas inte behandling av uppgifter om juridiska personer som definitionsmässigt inte utgör personuppgifter (3 §) eller behandling som en fysisk person utför i verksamhet av rent privat natur (6 §). Dessutom tillämpas inte lagen om det skulle strida mot tryckfrihetsförordningen (TF) och yttrandefrihetsgrundlagen. De flesta bestämmelserna i lagen tillämpas inte heller på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande (7 §).

Enligt 2 § personuppgiftslagen gäller särreglering i lag eller förordning framför bestämmelserna i personuppgiftslagen. Med avvikande bestämmelser enligt paragrafen avses i första hand s.k. registerförfattningar som reglerar inrättandet och förandet av viktiga register på det offentliga området. Målet har också varit att myndighetsregister med ett stort antal registrerade och ett känsligt innehåll skall regleras särskilt i lag.9Personuppgiftslagen får heller inte inskränka myndigheternas skyldighet att lämna ut personuppgifter enligt 2 kap. TF.

9Prop. 1997/98:44 s. 41 och Prop. 1990/91:60 s. 50.

Dataskyddsdirektivet innehåller ett antal huvudregler som måste ingå i personuppgiftslagen. Ofta är dessa huvudregler och principer allmänt hållna i direktivet och de måste för att kunna tillämpas av de personuppgiftsansvariga preciseras och konkretiseras. Lagen innehåller dock inte några detaljbestämmelser som fyller ut de generellt hållna huvudreglerna. I stället överlämnas det åt regeringen och Datainspektionen att inom den ram som personuppgiftslagen drar upp göra nödvändiga preciseringar och konkretiseringar.

3.3.2. Definitioner

Några av de mer centrala begreppen i personuppgiftslagen definieras i 3 § på följande sätt.

Personuppgifter i lagens mening är all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.

Med behandling av personuppgifter avses varje åtgärd som vidtas beträffande uppgifterna, vare sig det sker på automatiserad väg eller inte, t.ex. insamling, lagring, utlämnande, samkörning eller förstöring.

Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter.

Personuppgiftsombud är den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt skall se till att personuppgifter behandlas på ett korrekt sätt.

Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Lagen uppställer inget krav på att samtycke skall vara skriftligt eller på annat sätt formbundet.

Med blockering avses en åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen.

3.3.3. Förutsättningar för behandling av personuppgifter

I lagen slås fast vissa grundläggande krav på all behandling av personuppgifter. Personuppgifter skall alltid behandlas på ett korrekt och lagligt sätt samt i enlighet med god sed. De skall samlas in och

behandlas för särskilda, uttryckligt angivna och berättigade ändamål. De behandlade uppgifterna måste vara riktiga och relevanta och inte alltför omfattande i förhållande till de ändamål för vilka de behandlas. Om det är nödvändigt skall uppgifterna också vara aktuella. Uppfyller personuppgifter inte kraven måste den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna (9 §).

Lagen innehåller en uttömmande uppräkning av de fall då behandling av personuppgifter är tillåten (10–12 §§). Personuppgifter får alltid behandlas om den registrerade har lämnat sitt samtycke. Återkallar den registrerade sitt samtycke får ytterligare personuppgifter om denne inte registreras. I vissa fall får dock personuppgifter behandlas även om den registrerade inte lämnat sitt samtycke till det.

Personuppgifter får behandlas i samband med ett avtal med den registrerade när det krävs för fullgörandet av avtalet. Behandling får utföras om det är nödvändigt för att den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet som åvilar honom eller henne. Personuppgifter får också behandlas för att skydda vitala intressen för den registrerade. Likaså får sådana uppgifter behandlas om det är nödvändigt för att en arbetsuppgift av allmänt intresse skall kunna utföras och för att den personuppgiftsansvarige, eller någon annan till vilken personuppgifter har lämnats ut, skall kunna utföra en arbetsuppgift i samband med myndighetsutövning. Slutligen får personuppgifter behandlas om en avvägning ger vid handen att den personuppgiftsansvariges berättigade intresse av en behandling väger tyngre än den registrerades intresse av skydd.

I personuppgiftslagen återfinns dataskyddsdirektivets förbud i fråga om behandling av känsliga personuppgifter. Personuppgifter som gäller ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse samt medlemskap i fackförening får inte behandlas, liksom personuppgifter som rör hälsa eller sexualliv (13 §).

Förbudet mot behandling av känsliga uppgifter är dock inte undantagslöst (14–20 §§). Liksom andra personuppgifter får sådana uppgifter behandlas efter den registrerades samtycke om detta är klart manifesterat. Även när den registrerade har offentliggjort känsliga uppgifter på ett tydligt sätt får de behandlas. Vidare får behandling bl.a. utföras om den är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller rättigheter inom arbetsrätten, när behandlingen sker inom ramen för ideella organisationers berättigade verksamhet, när behandlingen rör uppgifter som är nödvändiga för att rättsliga anspråk skall kunna slås fast och när behandlingen är nödvändig inom hälso- och sjukvården.

Regeringen eller den myndighet regeringen bestämmer, dvs. Datainspektionen, får meddela föreskrifter om ytterligare undantag, om det behövs med hänsyn till ett viktigt allmänt intresse.

3.3.4. Information och rättelse

Personuppgiftslagen innehåller bestämmelser som tryggar den registrerades rätt att dels kontrollera om behandling av personuppgifter om honom pågår, dels att begära rättelse av personuppgifter som har behandlats felaktigt (23–28 §§).

Den personuppgiftsansvarige skall självmant lämna den registrerade information rörande behandlingen, när uppgifter om en person samlas in från denne själv. Har uppgifterna hämtats in från tredje man behöver information inte lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

Den personuppgiftsansvarige är också skyldig att efter ansökan, en gång per år, gratis informera om huruvida uppgifter som rör sökanden behandlas eller inte, ändamålet med behandlingen, vilka uppgifter som behandlas, varifrån dessa kommer och till vem de lämnas ut.

Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen skall på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige.

3.3.5. Säkerhet vid behandlingen

Den personuppgiftsansvarige har stort ansvar för säkerheten vid behandling av personuppgifter (30–31 §§). Bland annat får de personer som arbetar med personuppgifter behandla dessa endast efter den personuppgiftsansvariges instruktioner. Den personuppgiftsansvarige har vidare ansvar för att tekniska och organisatoriska åtgärder vidtagits för att skydda de behandlade personuppgifterna. Datainspektionen får förelägga den personuppgiftsansvarige att vidta skyddsåtgärder. Sådana föreläggande får förenas med vite.

3.3.6. Överföring av personuppgifter till tredje land

Det är enligt 33 § personuppgiftslagen principiellt förbjudet att föra över personuppgifter till ett land som inte är medlem i EU eller anslutet till EES (tredje land) om landet inte har en adekvat nivå för skyddet av personuppgifterna.

Från förbudet finns undantag i 34 och 35 §§. Har den registrerade samtyckt till det, får uppgifter om denne föras över till tredje land. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention. Uppgifter får även föras över till tredje land om behandlingen är nödvändig för att fullgöra ett avtal, eller fastställa rättsliga anspråk eller för att skydda vitala intressen för den registrerade.

Regeringen får meddela föreskrifter om generella undantag från förbudet att föra över personuppgifter till tredje land. Regeringen eller, om regeringen bestämmer det, Datainspektionen får också föreskriva undantag när det behövs med hänsyn till viktiga allmänna intressen eller om överföringen sker under sådana omständigheter att det finns tillräckliga garantier till skydd för de registrerades rättigheter. Dessutom får regeringen under vissa förutsättningar besluta om undantag från förbudet i enskilda fall.

3.3.7. Datainspektionens befogenheter som tillsynsmyndighet

Tillsynsmyndighet enligt såväl personuppgiftslagen som dataskyddsdirektivet är Datainspektionen. Datainspektionens uppgifter enligt personuppgiftslagen innebär i första hand att informera om gällande regler och utöva tillsyn över att reglerna efterlevs samt att ge råd och hjälp åt personuppgiftsombuden. Den personuppgiftsansvariges anmälan om behandlingar av personuppgifter skall göras till Datainspektionen, som även skall utöva tillsyn över behandlingen.

Vissa av de befogenheter som enligt dataskyddsdirektivet tillkommer tillsynsmyndigheten regleras i 4347 §§personuppgiftslagen. Således innehåller lagen bestämmelser om att Datainspektionen skall ha tillgång till behandlade personuppgifter och dessutom tillträde till lokaler med anknytning till behandlingen. Om lagens regler inte iakttas har Datainspektionen som tillsynsmyndighet bl.a. befogenhet att tillse att rättelse sker och om detta inte hjälper besluta om förbud mot behandling av personuppgifter samt att ansöka hos länsrätt om att personuppgifter skall utplånas. Datainspektionen har även bemyndigats att meddela föreskrifter i anslutning till reglerna i personuppgiftslagen.

Enligt sin instruktion skall Datainspektionen även följa och beskriva utvecklingen på IT-området när det gäller frågor som rör integritet och ny teknik. Datainspektionen är också remissinstans när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter.

Enligt dataskyddsdirektivet är varje medlemsstat skyldig att se till att det utses en eller flera myndigheter som har till uppgift att övervaka tillämpningen av den nationella lagstiftningen till följd av direktivet. I sin egenskap av sådan tillsynsmyndighet ingår Datainspektionen även i den arbetsgrupp, den s.k. 29-gruppen, som inrättats med stöd av direktivet och som har till uppgift att se till att direktivet tillämpas enhetligt i medlemsstaterna. Gruppen skall också avge yttranden till Europeiska kommissionen om skyddsnivån i länder utanför EU samt ge råd till kommissionen om förslag till ändringar i direktivet.

3.3.8. Anmälan till Datainspektionen

Helt eller delvis automatiserad behandling av personuppgifter måste i princip anmälas till tillsynsmyndigheten (36 §). Syftet med anmälningsskyldigheten är att göra behandlingens ändamål och dess viktigaste egenskaper kända. Datainspektionen skall föra register över anmälda behandlingar.

Personuppgiftslagen har i denna del två motstridiga intressen som utgångspunkt. Det finns å ena sidan ett önskemål om att ta bort anmälningsskyldigheten för automatiserad behandling för att på så sätt koncentrera Datainspektionens verksamhet till att ge råd och sprida kunskap om de materiella reglerna samt att utöva tillsyn över att reglerna efterlevs. Å andra sidan föreskriver dataskyddsdirektivet som huvudregel att den registeransvarige till tillsynsmyndigheten skall anmäla automatiserade behandlingar som skall genomföras. Från denna anmälningsskyldighet får ett medlemsland dock under vissa förutsättningar föreskriva undantag.

I personuppgiftslagen har en principiell anmälningsskyldighet till Datainspektionen införts, samtidigt som möjligheterna att föreskriva om undantag utnyttjats fullt ut. När det gäller särskilt integritetskänsliga behandlingar föreskrivs dock inga undantag från anmälningsskyldigheten.

Enligt personuppgiftslagen får regeringen eller, efter regeringens bemyndigande, Datainspektionen föreskriva undantag från anmälningsskyldigheten. Sådana undantag föreskrivs i 3 § personuppgiftsförordningen (1998:1191) för behandling av personuppgifter som

utförs till följd bl.a. av en myndighets skyldighet enligt 2 kap. TF att lämna ut allmänna handlingar eller som regleras genom särskilda föreskrifter i lag eller förordning i andra fall.

Anmälan till Datainspektionen behöver inte göras när ett personuppgiftsombud har utsetts av den personuppgiftsansvarige (37–40 §§). Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett korrekt och lagligt sätt. I första hand skall personuppgiftsombudet påpeka brister i uppgiftsbehandlingen till den personuppgiftsansvarige, men om den ansvarige inte rättar till bristerna är ombudet skyldigt att anmäla förhållandet till Datainspektionen.

Anmälan för förhandskontroll

Särskilt integritetskänsliga behandlingar skall förhandskontrolleras innan de påbörjas (41 §). I personuppgiftslagen finns ett bemyndigande för regeringen att bestämma att vissa behandlingar av personuppgifter som kan innebära särskilda risker för otillbörligt intrång i den personliga integriteten skall anmälas till Datainspektionen tre veckor i förväg. I personuppgiftsförordningen finns bestämmelser om sådana behandlingar.

För närvarande gäller enligt 10 § personuppgiftsförordningen att behandling av känsliga personuppgifter för forskningsändamål utan samtycke från den registrerade och som inte godkänts av en forskningsetisk kommitté samt behandling av personuppgifter om genetiska anlag som framkommit efter genetisk undersökning skall anmälas för förhandskontroll.

I 2 § polisdataförordningen (1999:81) finns föreskrifter om anmälan av viss automatiserad behandling enligt polisdatalagen. Beträffande skattemyndigheterna finns bestämmelser om anmälan i 2 § förordningen (1999:105) om behandling av personuppgifter vid skattemyndigheters medverkan i brottsutredningar. För Tullverket finns föreskrifter om anmälan i 2 § förordningen (2001:88) om behandling av personuppgifter i Tullverkets brottsbekämpande verksamhet.10

Anmälningar till Datainspektionen handläggs med förtur eftersom inspektionen inom tre veckor måste meddela om den avser att vidta några åtgärder med anledning av anmälan eller ej. Kravet på förturshantering och det rättsligt komplicerade området, framförallt de

10 Datainspektionens författningssamling (DIFS) 1998:2 (omtryckt DIFS 2001:1).

anmälningar som har kommit från polisen, har enligt Datainspektionen gjort handläggningen mycket resurskrävande.

3.3.9. Sanktioner

Skadestånd

Om behandling av personuppgifter i strid med personuppgiftslagen orsakar skada för den registrerade har han eller hon rätt till skadestånd från den personuppgiftsansvarige (48 §). Skadeståndsansvaret är i princip strikt. Den registrerade behöver endast bevisa att det förekommit en felaktig behandling och att denna behandling har skadat eller kränkt honom eller henne. Kan den personuppgiftsansvarige visa att felet inte berodde på honom eller henne får emellertid skadeståndet jämkas i skälig utsträckning.

Straff

I personuppgiftslagen har i första hand valts andra sanktioner än straff. Vad som återfinns i straffbestämmelsen i personuppgiftslagen är sådana uppsåtliga brott eller oaktsamma förfaranden som är svåra att åtgärda på annat sätt än genom straffbestämmelser (49 §). Det rör sig om att någon lämnar osanna uppgifter i den information till den registrerade som lagen föreskriver eller i anmälan till Datainspektionen. Vidare tillämpas straffbestämmelsen om någon i strid med lagen behandlar känsliga personuppgifter, för över uppgifter till tredje land eller låter bli att göra föreskriven anmälan om behandling till Datainspektionen.

3.3.10. Ikraftträdande- och övergångsbestämmelser

Personuppgiftslagen trädde i kraft den 24 oktober 1998 och samtidigt upphörde datalagen att gälla.

I fråga om manuella behandlingar som påbörjades före ikraftträdandet skall vissa bestämmelser i lagen tillämpas först från och med den 1 oktober 2007. Det gäller 9 och 10 §§ som reglerar de grundläggande kraven på behandling av personuppgifter och när behandling är tillåten samt 13 och 21 §§ om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m.

Datainspektionen har i inspektionens författningssamling (DIFS) meddelat vissa föreskrifter om tillämpningen av personuppgiftslagen.11

3.4. Särskilda registerförfattningar

Personuppgiftslagen är generellt tillämplig och omfattar även sådan verksamhet som faller utanför EG-rätten. Om det i en lag eller förordning finns bestämmelser som avviker från personuppgiftslagen, gäller emellertid de bestämmelserna i stället. Detta följer av 2 § personuppgiftslagen. Det innebär att personuppgiftslagen endast innehåller generella regler och att behovet av undantag och särregler för mer speciella områden tillgodoses genom särskilda författningar.

I 8 § personuppgiftslagen finns en bestämmelse som klargör att reglerna i 2 kap. tryckfrihetsförordningen om utlämnande av allmänna handlingar tar över bestämmelserna i lagen, och i 7 § finns motsvarande erinran beträffande bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

Avvikande särregler i lag eller förordning tar således över bestämmelserna i personuppgiftslagen. Det finns i dag en stor mängd olika lagar och förordningar som reglerar inrättandet och förandet av viktigare register inom det offentliga området (statsmaktsregister). De lagar och förordningar som reglerar sådana statsmaktsregister kallas vanligen registerförfattningar, även om författningen i första hand reglerar annat än ett register.

I förarbetena till personuppgiftslagen uttalar regeringen att register med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras i särskild författning. Anledningen härtill är att det anses särskilt viktigt med ett starkt integritetsskydd när det gäller uppgifter inom all offentlig verksamhet.12

Olika myndigheters verksamheter ställer olika krav på de regelverk som sätter upp riktlinjer för verksamheternas bedrivande. Detta gäller även behandling av personuppgifter. Personuppgiftslagen gäller generellt, vilket innebär att det för olika myndigheter kan behövas bestämmelser som avviker från vad som anges i den lagen. Avvägningen mellan t.ex. integritet och effektivitet kan inte alltid bedömas med samma måttstock för olika verksamheter. Eftersom redan omfattningen av uppgifter i ett datoriserat register påverkar bedömningen av integritetsfrågorna, kan det vidare finnas anledning att redan på den grunden ha olika bestämmelser för olika verksamheter. Det är bl.a. med hänsyn

11 DIFS 1998:2 (omtryckt DIFS 2001:1) och 1998:3. 12Prop. 1997/98:44 s. 41.

härtill nödvändigt att komplettera personuppgiftslagen med särskilt anpassade regelverk för olika verksamheter.

Datainspektionens tillsyn omfattar all helt eller delvis automatiserad behandling av personuppgifter. Inspektionen har härvid att i första hand tillämpa personuppgiftslagen. I den mån Datainspektionens tillsyn avser särreglerade områden skall därutöver även de särskilda registerförfattningarna beaktas. Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter. Den gäller således i varje myndighets verksamhet om det inte finns avvikande bestämmelser i lag eller förordning. I varje enskild särreglering kan det finnas bestämmelser som i större eller mindre utsträckning avviker från personuppgiftslagen.

Antalet särskilda registerförfattningar är mycket stort. Det pågår dessutom ett ständigt anpassnings- och översynsarbete av de befintliga registerförfattningarna och fortlöpande överväganden om vilka särregleringar i övrigt som skall gälla i förhållande till personuppgiftslagen.

Som exempel på de registerförfattningar som Datainspektionen har att tillämpa kan nämnas N socialförsäkringsregisterlagen (1997:934), N lagen (1998:527) om det statliga personadressregistret, N lagen (1998:544) om vårdregister, N polisdatalagen (1998:622), N lagen (1999:90) om behandling av personuppgifter vid skatte-

myndigheters medverkan i brottsutredningar, N lagen (1998:938) om behandling av personuppgifter om total-

försvarspliktiga, N lagen (2000:344) om Schengens informationssystem, N lagen (2001:85) om behandling av personuppgifter i Tullverkets

brottsbekämpande verksamhet, N lagen (2001:181) om behandling av uppgifter i skatteförvaltningens

beskattningsverksamhet, N lagen (2001:184) om behandling av uppgifter i kronofogde-

myndigheternas verksamhet, och N lagen (2001:185) om behandling av uppgifter i Tullverkets

verksamhet. Före den 1 januari 1995 fanns det en uttrycklig regel om att särskilt yttrande skulle hämtas in från Datainspektionen, innan det inrättades ett statsmaktsregister med känsliga personuppgifter. I syfte att minska inspektionens arbetsbörda togs denna skyldighet bort. Avsikten var emellertid inte att avskaffandet skulle innebära någon lättnad i kravet på remissbehandling av förslag till nya statsmaktsregister. I motiven uttalades att Datainspektionen ändå bör få tillfälle att avge synpunkter, bl.a. mot bakgrund av den skyldighet som regeringen har enligt 7 kap. 2 § regeringsformen att inhämta vissa upplysningar och yttranden från

myndigheter under beredningen av regeringsärendena. Vidare anfördes att det är vanligt att inspektionen deltar i beredningsarbetet inför inrättandet av statsmaktsregister samt att inspektionen regelmässigt är remissorgan i sådana lagstiftningsärenden.13

3.5. Kreditupplysningslagen

3.5.1. Allmänt

Kreditupplysningslagen (1973:1173) innehåller regler för den yrkesmässigt bedrivna kreditupplysningsverksamheten. Lagen syftar i första hand till att undanröja riskerna för att kreditupplysning skall medföra otillbörligt intrång i de omfrågades personliga integritet eller leda till skada genom oriktiga eller missvisande uppgifter. Samtidigt är lagen avsedd att bidra till en effektivt fungerande kreditupplysningsverksamhet. Lagen trädde i kraft den 1 juli 1974.

De första större ändringarna i kreditupplysningslagen genomfördes år 1981. Datainspektionen hade på uppdrag av regeringen under åren 1977 och 1978 dels upprättat två promemorior om inspektionens erfarenheter från tillämpningen av kreditupplysningslagen och inkassolagen dels utfört en utredning om inkassokostnader.

På grundval av Datainspektionens promemorior och utredning utarbetades inom Justitiedepartementet promemorian Kreditupplysning och inkasso (Ds Ju 1979:8). Arbetet låg till grund för regeringens förslag.14 Ändringarna i kreditupplysningslagen innebar att enskildas integritetsskydd förbättrades i en del hänseenden. Bland annat genom att tidsgränsen för hur gamla uppgifter som fick tas med i s.k. personupplysningar sänktes från fem till tre år. Vidare ålades kreditupplysningsföretagen att underrätta den som avses med en personupplysning om vem som begärt upplysningen. En sådan upplysningsskyldighet infördes också för enskilda näringsidkare.

Under 1990-talet genomfördes också vissa ändringar av kreditupplysningslagen. År 1991 tillkallades en särskild utredare för att se över kreditupplysningslagen, Kreditupplysningsutredningen (dir. 1991:69 och 1993:41). Utredaren presenterade sitt arbete i delbetänkandet EES-anpassning av kreditupplysningslagen (SOU 1992:22) och i slutbetänkandet Integritet och effektivitet på kreditupplysningsområdet (SOU 1993:10).

13Prop. 1993/94:217 s. 22 f. 14Prop. 1980/81:10, SFS 1981:737.

De flesta av Kreditupplysningsutredningens förslag har resulterat i lagstiftning.15 Ändringarna innebar bl.a. att systemet med en s.k. frikrets, inom vilken förmedling av kreditupplysningar är undantagen från lagens tillämpningsområde, avskaffades. I frikretsen ingick bl.a. bankerna och Upplysningscentralen. Lagen blev härigenom tillämplig på all kreditupplysningsverksamhet.

I anslutning till att frikretsen avskaffades bestämdes att banker och andra kreditinstitut skulle ha rätt att bedriva kreditupplysningsverksamhet med stöd av sin grundläggande auktorisation utan särskilt tillstånd från Datainspektionen. Därutöver togs särskilt upp frågan om tillsyn över kreditupplysningsföretagen och det bestämdes att Datainspektionen även i fortsättningen skall utöva tillsyn över lagens efterlevnad. Ändringarna trädde i kraft den 1 juli 1997.

Med hänsyn till Datalagskommitténs då pågående arbete lämnades dock frågor som behandlas i dataskyddsdirektivet eller som annars hade beröring med Datalagskommitténs arbete utanför lagstiftningsärendet. En fråga som inte togs upp var om kreditupplysningslagen bör fullständigt reglera vad som skall gälla på kreditupplysningsområdet eller om lagen bör samverka med andra lagar, särskilt personuppgiftslagen. En annan fråga som inte behandlades var frågan om datasäkerhet. Utanför lagstiftningsärendet lämnades också frågan om uppgifter skall få samlas in och lagras i kreditupplysningsverksamhet utan att den berörda personen har lämnat sitt samtycke till det.

År 1997 uppdrog regeringen åt Datainspektionen att utreda vilka uppgifter om näringsidkare som bör få användas i kreditupplysningar. Datainspektionen redovisade uppdraget i en rapport samma år.

I propositionen 2000/01:50 behandlar regeringen de förslag som lämnats i promemorian Kreditupplysningslagen – anpassning till dataskyddsdirektivet (Ds 1998:44), kvarstående förslag från Kreditupplysningsutredningen samt de frågor som berörs i Datainspektionens rapport. Propositionen innehåller förslag till ändringar i kreditupplysningslagen. Förslagen syftar i första hand till att anpassa kreditupplysningslagen till dataskyddsdirektivet och personuppgiftslagen. Ändringarna skall stärka den enskildes integritetsskydd, och innebär bl.a. att uppgifter om fysiska personer får samlas in endast för kreditupplysningsändamål och att personuppgiftslagens krav på behandling av personuppgifter skall gälla också i kreditupplysningsverksamhet.

I propositionen görs vidare bedömningen att uppgifter också i fortsättningen bör få behandlas utan att den enskilde har gett sitt samtycke till behandlingen, och det föreslås en uttrycklig bestämmelse

15Prop. 1996/97:65, bet. 1996/97:FiU23 och 27, rskr. 1996/97:274, SFS 1997:556.

om detta. Det föreslås även bestämmelser om datasäkerhet för uppgifter om juridiska personer. Lagändringarna trädde i kraft den 1 juni 2001.16

Regeringen angav därutöver sin avsikt att återkomma i vissa frågor som innebär ytterligare ändringar i kreditupplysningslagen. Registerförfattningsutredningen (SOU 1999:105) har föreslagit vissa ändringar vad gäller sekretessen inom exekutionsväsendet som får betydelse för kreditupplysningsverksamhet. Utredningens förslag till lagstiftning trädde i kraft den 1 oktober 2001.17 Vidare har Bulvanutredningen lämnat förslag (SOU 1998:47) som även det berör kreditupplysningsverksamhet. Regeringen anser också att det bör göras en analys av förhållandet mellan reglerna i kreditupplysningslagen och reglerna i tryckfrihetsförordningen och yttrandefrihetsgrundlagen.18

3.5.2. Lagens tillämpningsområde (1–3 §§)

Kreditupplysningslagen gäller i första hand sådan kreditupplysningsverksamhet som innebär att någon lämnar kreditupplysningar i mer än enstaka fall mot ersättning eller som ett led i näringsverksamhet.

Med kreditupplysning avses uppgift, omdöme eller råd som lämnas till ledning för bedömning av annans kreditvärdighet eller vederhäftighet i övrigt i ekonomiskt hänseende.

Lagen avser främst att reglera sådan verksamhet som bedrivs av kreditupplysningsföretag. Sådan kreditupplysningsverksamhet som bransch- och företagarorganisationer erbjuder sina medlemmar faller också under lagens tillämpningsområde.

Enstaka kreditupplysningar som t.ex. advokat- eller revisionsbyråer lämnar till sina kunder omfattas inte av lagen. Inte heller omfattas kreditupplysningar mellan företag inom samma koncern, utom i de fall då det företag som lämnar upplysningen är ett kreditupplysningsföretag som behöver särskilt tillstånd för verksamheten, eller när myndighet lämnar ut uppgifter med stöd av lag, förordning eller särskilt beslut av regeringen eller en myndighet som regeringen bestämt.

16 SFS 2001:164. 17Prop. 2000/01:33 och SFS 2001:200. 18Prop. 2000/01:50 s. 12 och 18.

3.5.3. Tillstånd (3 och 4 §§)

Den kreditupplysningsverksamhet som omfattas av lagen får bedrivas endast efter tillstånd från Datainspektionen. Banker och vissa andra kreditinstitut som bedriver kreditupplysningsverksamhet med stöd av sin grundläggande auktorisation behöver dock inte Datainspektionens tillstånd. Istället gäller att verksamheten skall anmälas till inspektionen.

Tillstånd får meddelas om det kan antas att verksamheten kommer att bedrivas på ett sakkunnigt och omdömesgillt sätt. Kravet på sakkunnighet har av Datainspektionen tolkats till att avse erfarenhet från kreditupplysningsbranschen och kunskaper om lagstiftning som berör kreditupplysningsverksamhet.

Datainspektionen har möjlighet att förena ett tillstånd med villkor om hur verksamheten skall bedrivas och om skyldighet att anmäla ändrade förhållanden av betydelse för tillståndet. Tillstånd till kreditupplysningsverksamhet gäller tills vidare. Om förutsättningar för tillstånd inte längre föreligger får Datainspektionen återkalla tillståndet.

3.5.4. Grundläggande krav på kreditupplysningsverksamhet (5 och 6 §§)

Kreditupplysningsverksamhet skall bedrivas på ett sådant sätt att den inte leder till otillbörligt intrång i personlig integritet genom innehållet i de uppgifter som förmedlas eller på annat sätt eller till att oriktiga eller missvisande uppgifter lagras eller lämnas ut.

Uppgift om någons politiska eller religiösa uppfattning, ras eller etniska ursprung får inte samlas in, lagras eller lämnas ut i kreditupplysningsverksamhet. Vissa andra uppgifter av särskilt ömtålig natur få förekomma i kreditupplysningssammanhang endast om Datainspektionen medgivit det. Datainspektionen kan sålunda, om synnerliga skäl föreligger, medge att uppgifter om brott, sjukdomar, hälsotillstånd och liknande samlas in, lagras och lämnas ut i kreditupplysningsverksamhet.

3.5.5. Tillsynsmyndigheten (15–18 §§)

Datainspektionen utövar tillsyn över den kreditupplysningsverksamhet som omfattas av lagen. Inspektion av att lagens regler efterlevs sker genom fältinspektioner, enkäter eller annan kontroll per telefon eller brev.

Den som bedriver kreditupplysningsverksamhet är skyldig att lämna Datainspektionen de uppgifter om verksamheten som inspektionen begär för sin tillsyn.

Om den som har Datainspektionens tillstånd att bedriva kreditupplysningsverksamhet åsidosätter någon bestämmelse i lagen eller i ett meddelat tillstånd får inspektionen ändra tidigare meddelade villkor eller meddela nytt villkor. Kan rättelse inte åstadkommas på annat sätt, får Datainspektionen återkalla tillståndet. När ett företag som bedriver kreditupplysningsverksamhet utan krav på tillstånd från Datainspektionen inte vidtar rättelse skall Datainspektionen underrätta Finansinspektionen.

Om ett kreditupplysningsföretag underlåter att ge en omfrågad person information i samband med en kreditupplysning eller att rätta oriktiga eller missvisande uppgifter, kan Datainspektionen förelägga företaget vid vite att fullgöra sina åligganden. Vitesföreläggande kan också användas av Datainspektionen i syfte att få tillgång till handlingar eller uppgifter i samband med tillsynsverksamheten.

Regeringen får föreskriva om skyldighet för den som bedriver kreditupplysningsverksamhet att betala avgift för Datainspektionens tillsynsverksamhet m.m. enligt kreditupplysningslagen. Regeringen har dock ännu inte utnyttjat denna möjlighet.

3.5.6. Sanktioner (19–21 §§)

Den som bedriver kreditupplysningsverksamhet utan tillstånd kan dömas till böter eller fängelse i högst ett år. Straffansvarig är den som är ansvarig för bedrivandet av kreditupplysningsverksamheten. Beträffande en juridisk person är det styrelsen och verkställande direktör som får bära ansvaret.

Lagen innehåller även regler om förverkande av register och skadestånd. Den som bedriver kreditupplysningsverksamhet skall ersätta skada som till följd av verksamheten tillfogas någon genom otillbörligt intrång i hans eller hennes personliga integritet eller genom att oriktig uppgift lämnas om honom eller henne, om inte den som bedriver verksamheten kan visa att tillbörlig omsorg och varsamhet iakttagits.

3.5.7. Överklagande (23 §)

Datainspektionens beslut enligt kreditupplysningslagen får överklagas hos allmän förvaltningsdomstol. Justitiekanslern får föra talan mot Datainspektionens beslut enligt kreditupplysningslagen för att ta till vara allmänna intressen.

3.6. Inkassolagen

3.6.1. Allmänt

Regler om hur inkassoverksamhet får bedrivas finns i inkassolagen (1974:182) och inkassoförordningen (1981:956). Inkassolagen syftar främst till att undanröja riskerna för att gäldenärer utsätts för otillbörliga inkassoåtgärder eller i övrigt tillfogas onödig skada eller olägenhet genom inkassoverksamhet. Det handlar således bl.a. om att skydda grundläggande värden såsom den personliga integriteten och privatlivets helgd.

De första större ändringarna i inkassolagen genomfördes år 1981. Datainspektionen hade på uppdrag av regeringen under åren 1977 och 1978 dels upprättat två promemorior om inspektionens erfarenheter från tillämpningen av kreditupplysningslagen och inkassolagen dels utfört en utredning om inkassokostnader. På grundval av Datainspektionens promemorior och utredning utarbetades inom Justitiedepartementet promemorian Kreditupplysning och inkasso (Ds Ju 1979:8). Arbetet låg till grund för regeringens förslag till ändringar i inkassolagen.19 Ändringarna innebar bl.a. att lagens tillämpningsområde utökades till att omfatta praktiskt taget all indrivning av fordringar, med undantag av enskilda personers indrivning av egna fordringar av privat natur. I syfte att förbättra integritetsskyddet på inkassoområdet infördes nya regler om gäldenärsregister som används i inkassoverksamhet.

3.6.2. Lagens tillämpningsområde (1 §)

Inkassolagen omfattar så gott som all indrivning av fordringar som innebär att inkassoåtgärder vidtas. Sådan indrivning kallas i lagen för inkassoverksamhet. Med inkassoåtgärd avses en åtgärd som innebär påtryckning på gäldenären på annat sätt än genom angivande av tid för

19Prop. 1980/81:10, SFS 1981:737.

betalning eller uppgift om att fordringen, om den inte betalas, kommer att överlämnas till någon annan för inkasso. Att en borgenär skickar en enkel betalningspåminnelse räknas således inte som en inkassoåtgärd. Om borgenären däremot skickar ett kravbrev med hot om rättsliga eller exekutiva åtgärder, anses det som en inkassoåtgärd.

Enligt Datainspektionens praxis omfattas hela förfarandet från mottagande av inkassouppdraget till slutredovisning till uppdragsgivaren av begreppet inkassoverksamhet. Även den som endast utför ett eller några led i förfarandet anses bedriva inkassoverksamhet.

Undantag från lagens tillämpningsområde är restriktiva och görs endast för två fall. Det första är enskilda fysiska personers eller dödsbons egna åtgärder för indrivning av egna fordringar, förutsatt att fordringarna varken har uppkommit i näringsverksamhet eller övertagits för indrivning. Det andra undantaget från lagens tillämpningsområde är exekutiva myndigheters verksamhet.

Genom den senaste ändringen av inkassolagen har även det tidigare undantaget som avsåg tillfällig och begränsad inkassoverksamhet tagits bort. Undantaget hade i viss utsträckning utnyttjats av personer med anknytning till de internationellt förgrenade mc-klubbarna, och andra grupper, som sysslar med avancerad brottslighet.20 I samband härmed undantogs från lagens tillämpningsområde indrivning som görs av enskild person för egen eller närståendes räkning, så länge fordran inte uppkommit i näringsverksamhet eller övertagits för indrivning.

3.6.3. Tillstånd (2 och 3 §§)

Det krävs Datainspektionens tillstånd för indrivning av fordringar för någon annans räkning. Detsamma gäller indrivning av fordringar som övertagits för indrivning. Från den allmänna tillståndsplikten görs vissa undantag. Bakgrunden till undantagen är att lagstiftaren ansett att kravet på tillstånd för inkassoverksamhet bör vara begränsat till de fall där det framstår som särskilt angeläget med en ännu starkare offentlig kontroll än den som följer av lagens regler om fortlöpande tillsyn. Med andra ord har man velat undvika att systemet kan uppfattas som en form av onödig byråkrati.21 Undantagen har dock ett snävt tillämpningsområde.

Om inkassoverksamheten utgör ett underordnat led i en annan verksamhet och inte någon av verksamheterna utgör näringsverksamhet, behövs som regel inte tillstånd. Från tillståndsplikten undantas

20 Prop. 1997/98:181, SFS 1999:73.21 Prop. 1980/81:10 s. 80.

härigenom fackliga och andra ideella organisationer, vilka som en service åt medlemmarna bedriver inkassoverksamhet avseende deras fordringar men väsentligen har andra uppgifter. Vidare undantas från tillståndskravet sådan inkassoverksamhet som bedrivs av ett företag för ett annat företag inom samma koncern. Dessa undantag gäller dock inte oinskränkta. Även för sådan inkassoverksamhet fordras nämligen tillstånd om verksamheten avser fordringar som tillkommer eller har övertagits från någon som inte utan tillstånd enligt lagen hade kunnat driva in fordringarna.

Undantag från tillståndsplikten görs även för personer och företag som står under någon form av tillsyn av annat organ än Datainspektionen, t.ex. Finansinspektionen. Även advokater, som står under tillsyn av Sveriges advokatsamfund, är uttryckligen undantagna från tillståndsplikten. Även den som bedriver icke tillståndspliktig inkassoverksamhet är dock skyldig att iaktta inkassolagens regler om hur inkassoverksamhet skall bedrivas.

Tillstånd enligt inkassolagen får meddelas endast om verksamheten kan antas bli bedriven på ett sakkunnigt och omdömesgillt sätt. Sökandens kompetens och i viss mån vandel prövas av Datainspektionen. I praxis ställs stränga krav för att tillstånd skall ges. I allmänhet krävs högskoleutbildning i ekonomi och juridik. Tillstånd får meddelas för högst tio år i taget. I praxis meddelas dock inte tillstånd för längre tid än fem år för juridiska personer.

Datainspektionen får förena tillståndet med föreskrifter om hur verksamheten skall bedrivas. Dessutom kan myndigheten meddela föreskrift om skyldighet att anmäla ändring av förhållanden som kan ha haft betydelse för tillståndet. Exempel på en sådan ändring är att företagets ledning eller ägarkrets fått en väsentligt förändrad sammansättning. Datainspektionens har i DIFS 1989:1, med ändringar 1999:2, meddelat särskilda föreskrifter om tillstånd enligt 2 § inkassolagen.

3.6.4. Grundläggande krav på inkassoverksamhet

Inkassoverksamhet skall enligt 4 § bedrivas enligt god inkassosed. Gäldenären får inte vållas onödig skada eller olägenhet. Inte heller får han eller hon utsättas för otillbörlig påtryckning eller någon annan otillbörlig inkassoåtgärd. Begreppet god inkassosed preciseras och fylls ut dels genom lagens bestämmelser, dels genom Datainspektionens föreskrifter och inspektionens och domstolarnas praxis. Datainspektionen ger också ut allmänna råd där myndigheten ger sin syn på begreppet god inkassosed.

3.6.5. Tillsynsmyndigheten

Datainspektionen utövar tillsyn över inkassolagens efterlevnad. Datainspektionens tillsyn omfattar såväl tillståndspliktig som icke tillståndspliktig verksamhet. Advokater och företag under Finansinspektionens tillsyn omfattas dock inte av Datainspektionens tillsyn.

Datainspektionen har bl.a. rätt att företa inspektion hos den som bedriver inkassoverksamhet. För att framtvinga att god inkassosed iakttas och att lagen i övrigt efterlevs får myndigheten meddela de föreskrifter mot enskilda som tillsynen föranleder. Sådana föreskrifter får förenas med vite. När det gäller någon som har fått tillstånd att bedriva inkassoverksamhet kan Datainspektionen i sista hand återkalla tillståndet. Detta kan aktualiseras om allvarliga brister i verksamheten konstateras.

3.6.6. Sanktioner (17 och 18 §§)

Den som uppsåtligen eller av oaktsamhet bedriver inkassoverksamhet utan föreskrivet tillstånd kan dömas till böter eller fängelse i högst ett år. Brott mot meddelad föreskrift kan också leda till straff. Likaså kan otillåtet förfarande med ett gäldenärsregister som används i tillståndspliktig verksamhet medföra straffansvar. Slutligen kan den som lämnar en osann uppgift när Datainspektionen begär upplysningar för sin tillsyn dömas för brott mot lagen.

Lagen innehåller även bestämmelser om skadeståndsskyldighet. Den som bedriver inkassoverksamhet skall ersätta sådan skada som till följd av verksamheten tillfogas någon genom otillbörlig påtryckning eller annan otillbörlig inkassoåtgärd.

3.6.7. Överklagande (19 §)

Datainspektionens beslut enligt inkassolagen får överklagas hos allmän förvaltningsdomstol. Justitiekanslern får föra talan mot Datainspektionens beslut enligt inkassolagen för att ta till vara allmänna intressen.

3.7. Europolkonventionen

3.7.1. Grundtanken bakom Europol

Inom ramen för EU-samarbetet på polisens område har en europeisk polisbyrå – Europol – inrättats. Europols främsta uppgift är att vara ett kriminalunderrättelseorgan för de brottsbekämpande myndigheterna i medlemsländerna inom EU. Som sådant är Europol en knutpunkt för utbyte av information och underrättelser mellan medlemsländerna.

Europol fungerar så att medlemsländerna tillhandahåller Europol uppgifter främst ur sina nationella polisregister. Dessa uppgifter sammanställs, bearbetas och analyseras sedan hos Europol. Europols underrättelser delges sedan medlemsländerna som härigenom får ett bättre underlag för sin operativa verksamhet, vilket kan bidra till fler och bättre samordnade ingripanden mot den typ av brottslig verksamhet som ligger inom Europols mandat, dvs. organiserad, internationell kriminalitet av allvarligt slag.

Europols behörighet omfattar brotten narkotikahandel, penningtvätt, olaglig handel med nukleära och radioaktiva ämnen, de illegala nätverken för invandring, människohandel, handel med stulna fordon, penningförfalskning samt terrorism.

Europols verksamhet regleras i Europolkonventionen. Riksdagen beslutade under hösten 1997 att Sverige skulle ansluta sig till konventionen.22 Den 1 oktober 1998 trädde Europolkonventionen i kraft. Verksamheten inleddes den 1 juli 1999.

3.7.2. Europols uppgifter

Europol har som förstahandsuppgift att underlätta informationsutbytet mellan medlemsländerna, att inhämta, sammanställa och analysera information och underrättelser, att omedelbart till medlemsländerna återföra information och underrättelser som berör dem och att genast underrätta dem om upptäckta samband mellan olika brottsliga gärningar samt att underlätta polisutredningar i medlemsländerna genom att överlämna relevant information som finns hos Europol.

Härutöver skall Europol för att förbättra samarbetet mellan och öka effektiviteten hos de nationella polismyndigheterna bistå med rådgivning och fördjupade specialkunskaper vid utredningar och tillhandahålla strategiska och övergripande underrättelser för att främja

22Prop. 1996/97:164, bet. 1997/98:JuU2, rskr. 22.

effektiva och rationella operationer i medlemsländerna samt utarbeta allmänna lägesrapporter.

Slutligen kan Europol bistå medlemsländerna med råd och forskning inom områdena för utbildning, organisation och utrustning, brottsförebyggande arbete samt tekniska och vetenskapliga polis- och utredningsmetoder.

3.7.3. Europols organisation

Staternas samarbete inom Europol är uppbyggt kring både nationella och internationella beståndsdelar. Inom varje medlemsstat finns en nationell enhet som är enda förbindelselänk mellan Europol och medlemsländerna. I Sverige är det Rikskriminalpolisen vid Rikspolisstyrelsen som har denna funktion.

Den nationella enheten har till huvudsaklig uppgift att förse Europol med de uppgifter som från de nationella polisregistren eller motsvarande skall överlämnas till Europols olika dataregister och att ta emot uppgifter som kommer från Europol och vidarebefordra dessa till de nationella behöriga myndigheterna, som för Sveriges del är Polisen, Tullen, Åklagarväsendet och Kustbevakningen.

Varje medlemsland skall sända minst en sambandsman till Europols huvudkontor som ligger i Haag i Nederländerna. Sverige har två sambandsmän placerade vid huvudkontoret, en från polisen och en från tullen. Sambandsmännen är de nationella enheternas representanter i Europol och har till uppgift att praktiskt genomföra informationsutbytet och samverka i bl.a. analysarbetet. Europol har dessutom egna anställda underrättelsetjänstemän och analytiker.

Europols dagliga verksamhet leds av en direktör som genom enhälligt beslut utses av rådet på fyra år med möjlighet till förlängning. Den övergripande ledningen handhas av en styrelse. Regeringen har utsett chefen för Rikspolisstyrelsen som svensk ledamot i denna styrelse och chefen för Rikskriminalpolisen som ersättare.

3.7.4. Europols datasystem

Den centrala beståndsdelen i Europol är dess datorbaserade informationssystem. Detta skall bestå av ett informationsregister med begränsat och ämnesmässigt avgränsat innehåll som tillåter snabb sökning av vissa personuppgifter. Informationsregistret innehåller uppgifter om personer som är dömda, misstänkta eller som med hänsyn

till graverande omständigheter kan antas komma att begå sådana brott som ligger inom Europols behörighet.

För den analysverksamhet Europol bedriver skall det finnas ett antal arbetsregister av olika varaktighet s.k. analysregister, med mer detaljerade uppgifter. Slutligen skall finnas ett indexregister över analysregistren för att möjliggöra för bl.a. sambandsmännen att få reda på om det i de pågående analysprojekten finns något av intresse för det nationella polisarbetet. Informationssystemet beräknas vara klart under år 2002.

Medlemsländerna är skyldiga att förse Europols olika register, utom indexregistret, med uppgifter. Hos berörda svenska myndigheter pågår ett projekt som syftar till att överföringen av uppgifter från svenska register till Europols informationsregister i största möjliga utsträckning skall kunna ske automatiskt.

3.7.5. Regler om integritetsskydd

Europolkonventionen innehåller ett antal regler som tar sikte på enskildas integritetsskydd och skydd för känsliga personuppgifter. Europarådets dataskyddskonvention och 1987 års Europarådsrekommendation om användningen av personuppgifter inom polissektorn, skall iakttas också för Europols dataregister.23 Innan något utbyte av personuppgifter mellan Europol och medlemsländerna kan ske måste enligt konventionen även medlemsländerna ha en nivå på sitt integritetsskydd som minst motsvarar de nämnda Europarådsdokumenten.

Ansvaret för att en uppgift som förs in i ett av registren är riktig åvilar i princip den enhet som har fört in den. Det är alltså medlemsländerna som ansvarar för att uppgifterna i Europols register är riktiga. Europol ansvarar för att de uppgifter som inhämtas från tredje land eller andra organisationer är riktiga. Medlemsländerna ansvarar också för att uppgifter som har överförts till Europol lagligen har kunnat registreras i det ursprungliga, nationella registret och att överföringen till Europol sker för att uppfylla konventionens bestämmelser och i enlighet med medlemslandets interna regler.

Uppgifter får införas och användas endast för att utföra Europols arbetsuppgifter och uppfylla dess mål enligt konventionen. Alla uttag ur informationsregistret och vart tionde uttag ur övriga register rapporteras. Kontrollen utförs av Europol, de nationella tillsynsmyndigheterna och den gemensamma tillsynsmyndigheten. Felaktigheter skall

23 Recommendation No. R (87) 15.

rättas av medlemsländerna, av Europol eller av dessa i samarbete. Europol och medlemsländerna är också skyldiga att se till att uppgifter som strider mot konventionens bestämmelser rättas eller utplånas.

Det har upprättats en gemensam oberoende tillsynsmyndighet som skall ha till uppgift att övervaka Europols verksamhet för att försäkra sig om att lagringen, behandlingen och användningen av de uppgifter som Europols avdelningar disponerar över inte inkräktar på individens rättigheter. Tillsynsmyndigheten skall dessutom övervaka lagligheten av överföringen av de uppgifter som har Europol som ursprung. Den gemensamma tillsynsmyndigheten skall bestå av företrädare för de nationella tillsynsmyndigheterna.

I varje medlemsland skall det finnas en nationell tillsynsmyndighet som har motsvarande uppgifter i förhållande till de nationella enheternas verksamhet. Regeringen har utsett Datainspektionen till svensk tillsynsmyndighet. Det åligger således Datainspektionen att övervaka kommunikationen mellan Nationella sambandskontoret och Europol. Sambandskontoret måste därför ha en organisation som gör det möjligt att tillhandahålla Datainspektionen samtliga personuppgifter och övriga uppgifter inom Europol. Datainspektionens tillsyn enligt Europol omfattar också de svenska sambandsmännen vid det internationella sambandskontoret.

Enskilda har rätt att vända sig till någon av tillsynsmyndigheterna med begäran om kontroll av att personuppgifter om den enskilde inte finns i registren i strid med bestämmelserna. I konventionen finns också andra bestämmelser som går ut på att enskilda skall kunna ta till vara sina rättigheter mot Europol. Grundregeln är att var och en antingen skall kunna få tillgång till uppgifter om sig själv i registren, om inte sekretessregler lägger hinder i vägen, eller få till stånd ett förfarande för att kontrollera att eventuella uppgifter är rättsenligt införda.

3.8. Schengenkonventionen

3.8.1. Allmänt

Schengensamarbetet kan sägas innefatta två grundtankar, som är starkt förknippade med varandra. Den första är den fria rörligheten för personer, i betydelsen att personkontrollerna vid nationsgränserna inom området skall upphöra. Den andra grundtanken, som delvis aktualiseras av den fria rörligheten för personer, är att kampen skall stärkas mot internationell kriminalitet och mot illegal invandring.

För att den fria rörligheten för personer inte som en oönskad bieffekt skall bli till hjälp för den internationella brottsligheten innehåller Schengensamarbetet ett antal olika åtgärder. Dessa tar sig uttryck i konventionens regler om yttre gränskontroll samt i reglerna om polisiärt och rättsligt samarbete. Ett hjälpmedel i dessa sammanhang är dataregistret Schengens informationssystem, SIS.

I fråga om gränskontroll innebär Schengenkonventionens regler i huvudsak att alla personer som passerar en yttre gräns skall åtminstone underkastas kontroll för fastställande av identiteten. Personkontrollen skall, utöver granskning av pass och andra villkor för inresa, vistelse, arbete och utresa, även omfatta efterspaning och andra kontroller för att förhindra brott. Kontroll skall även ske vid utresa från Schengenområdet.

Utresekontrollen skall genomföras för spaningsändamål och med syfte att förhindra hot mot den inre säkerheten och den allmänna ordningen. Schengenkonventionens bestämmelser om polissamarbete är inriktat på att förebygga och utreda brott. Det avser såväl informationsutbyte som operativ samverkan.

3.8.2. Schengens informationssystem – SIS

Schengens informationssystem består enligt konventionen av en nationell enhet för varje Schengenstat och en central teknisk stödfunktion, som är gemensam för Schengenländerna. Varje Schengenstats nationella enhet innehåller uppgifter som är identiska med uppgifterna i de övriga ländernas nationella enheter.

SIS kan liknas vid ett beställningssystem; den stat som vill att någon annan stat skall göra eller iaktta något lägger in en s.k. rapport. Som exempel kan nämnas att uppgifter om en person som är efterlyst i ett Schengenland registreras med en begäran om att personen skall utlämnas, om han anträffas i ett annat Schengenland.

När det gäller innehållet i SIS föreskriver Schengenkonventionen att uppgifterna bara får avse personer, fordon och föremål. Beträffande uppgifter om personer får registreringen bara avse vissa identitetsuppgifter och uppgift om huruvida personen är beväpnad eller kan befaras tillgripa våld. Reglerna i konventionen innebär också att det är förbjudet att registrera andra uppgifter, exempelvis uppgifter om politiska åsikter eller sexuell läggning.

Uppgifter får bara föras in i SIS för vissa i konventionen angivna ändamål. Dessa är förvarstagande för utlämning, införande på spärrlista, omhändertagande av personer, uppgift om uppehållsort eller

hemvist, hemlig övervakning eller särskild kontroll samt efterlysning av fordon eller andra föremål.

Varje land skall utse en myndighet som skall ha huvudansvaret för att den nationella enheten i SIS fungerar och att föreskrifterna i konventionen följs. Dessa myndigheter är de s.k. SIRENE-kontoren. Nationella sambandskontoret vid Rikskriminalpolisen är Sveriges SIRENE-kontor. Vid SIRENE-kontoren förhandsgranskas alla nationella och utländska efterlysningar av personer som begärs utlämnande och alla ”träffar” i SIS kommuniceras med såväl nationella myndigheter som med andra SIRENE-kontor.

Tillsyn (artiklarna 114 och 115)

Varje Schengenstat skall utse en nationell tillsynsmyndighet till vilken enskilda skall kunna vända sig med begäran om att myndigheten skall granska registrerade uppgifter om honom eller henne i SIS och hur de används. Den nationella tillsynsmyndigheten skall självständigt och utan begäran från enskilda utöva tillsyn över den nationella delen av SIS. Denna tillsyn skall utföras med beaktande av nationell rätt. För sin tillsynsverksamhet skall den nationella tillsynsmyndigheten ha tillträde till det nationella registret.

Datainspektionen har utsetts till nationell tillsynsmyndighet enligt artikel 114 i konventionen. Företrädare för de nationella tillsynsmyndigheterna ingår i en gemensam tillsynsmyndighet med säte i Bryssel som har till uppgift att utöva tillsyn över den tekniska stödfunktionen i Schengens informationssystem. För att kunna fullgöra sin uppgift som nationell tillsynsmyndighet har Datainspektionen tillgång till uppgifter som har registrerats i SIS, vilket följer av reglerna i personuppgiftslagen.

3.8.3. Lagen om Schengens informationssystem

Riksdagen godkände i april 1998 Sveriges anslutning till Schengensamarbetet.24 Den 1 december 2000 trädde lagen (2000:344) om Schengens informationssystem i kraft.25

I lagen föreskrivs en skyldighet för Rikspolisstyrelsen att med hjälp av automatiserad behandling föra ett register som skall vara den svenska enheten i Schengens informationssystem. Rikspolisstyrelsen

24Prop. 1997/98:42, bet. 1997/98:JuU15, rskr. 181. 25Prop. 1999/2000:64.

skall vara personuppgiftsansvarig, men kan anlita annan myndighet som personuppgiftsbiträde enligt personuppgiftslagen.

Ändamålet med registret är att vara ett hjälpmedel där Schengenstaterna kan göra framställningar om de särskilda åtgärder som får begäras i SIS samt därigenom främja samarbete mellan Schengenstaterna vad gäller polisiära och rättsliga frågor samt frågor om inresa och uppehållstillstånd.

Enligt 11 § förordningen (2000:836) om Schengens informationssystem får Rikspolisstyrelsen – efter samråd med Datainspektionen – meddela de ytterligare föreskrifter som behövs för verkställighet av lagen om Schengens informationssystem och denna förordning.

Schengenkonventionen reglerar uttömmande vilka personuppgifter som får registreras när någon av åtgärderna begärs, nämligen vissa identifieringsuppgifter samt uppgift om huruvida personen är beväpnad eller kan befaras tillgripa våld. Lagen innehåller också en uppräkning av vilka personuppgifter som får föras in i registret (4 §), vilken överensstämmer med konventionen.

Registrering i SIS måste vara laglig i den Schengenstat där registreringen sker (5 §). Rikspolisstyrelsen får endast registrera uppgifter om motsvarande slag av uppgifter får behandlas enligt personuppgiftslagen, polisdatalagen (1998:622) eller annan svensk lag eller författning. Därutöver finns vissa begränsningar som följer av lagen. Registreringen skall vara nödvändig och berättigad (6 §), och vissa känsliga uppgifter får aldrig registreras (7 §). Uppgifter som en Schengenstat har registrerat är dock Rikspolisstyrelsen skyldig att tillåta i det svenska SIS-registret, förutsatt att registreringen är laglig i Schengenstaten.

I lagen regleras vilka myndigheter som skall ha tillgång till uppgifter i SIS (9 §). Detta gäller för gränskontrollerande och brottsbekämpande myndigheter. Vidare skall de myndigheter som prövar ansökningar om visering och uppehållstillstånd ha tillgång till den s.k. spärrlistan som innehåller framställningar om att personer inte skall tillåtas att resa in eller ges uppehållstillstånd i Schengenstaterna. Regeringen får meddela föreskrifter om att myndigheter får ha direktåtkomst till registret.

En svensk myndighet får inte utnyttja en uppgift i registret för något annat syfte än det som den registrerande staten har angivit vid registreringen (10 §). Annan användning kan dock äga rum om den registrerande staten har samtyckt till det.

Rikspolisstyrelsen är som personuppgiftsansvarig skyldig att gallra uppgifter efter viss tid beroende på vad uppgiften avser (11 §), och att rätta, blockera eller utplåna uppgift som är rättsligt eller sakligt felaktig (12 §).

3.9. Det internationella tullsamarbetet

3.9.1. Allmänt

Internationellt samarbete mellan tulladministrationer förekommer sedan länge. För Sveriges del har det skett bl.a. genom tullsamarbetsavtal och deltagande i World Customs Organization (WCO) och EU. Sverige har även ingått avtal om tullsamarbete med Norge och Finland och bilaterala avtal med ett flertal länder utanför Norden.

Samarbete mellan tullmyndigheterna i EU:s medlemsstater sker såväl inom ramen för gemenskapens första pelare (de Europeiska gemenskaperna), som inom ramen för det mellanstatliga samarbetet i den tredje pelaren (inre- och rättsliga angelägenheter).

I avsaknad av regler om tullsamarbete mellan medlemsstaterna undertecknades år 1967 en konvention om ömsesidigt bistånd mellan tullmyndigheterna, den s.k. Neapelkonventionen. För att tullunionen och den gemensamma jordbrukspolitiken skulle fungera på ett riktigt sätt, och för att förebygga och upptäcka överträdelser av gemenskapsreglerna på tull- och jordbruksområdet, fastställdes regler i rådets förordning (EG) nr 515/97 om ömsesidigt bistånd mellan medlemsstaternas administrativa myndigheter och om samarbete mellan dessa och kommissionen för att säkerställa en korrekt tillämpning av tull- och jordbrukslagstiftningen. Förordningen innehåller regler om administrativt samarbete mellan tullmyndigheter, och regler om ett datoriserat tullinformationssystem (TIS) för att underlätta informationsutbytet mellan tullmyndigheterna vad avser deras verksamhet med att förebygga, utreda och lagföra överträdelser av medlemsländernas tullbestämmelser.

Sverige har tillsammans med de övriga medlemsstaterna i EU, den 26 juli 1995, undertecknat konventionen om användning av informationsteknologi för tulländamål, den s.k. TIS-konventionen. Samtidigt undertecknades ett provisoriskt tillämpningsavtal.

TIS-konventionen utgör tillsammans med rådets förordning (EG) nr 515/97 den rättsliga grunden för EU:s tullinformationssystem.

Syftet med det tullinformationssystem som inrättats genom förordningen (EG) nr 515/97 och TIS-konventionen är att tillgodose behovet av snabb och effektiv informationsspridning för brottsbekämpande verksamhet med anknytning till EU:s tull- och jordbruksreglering. Rådets förordning reglerar förhållandet inom gemenskapens första pelare, medan TIS-konventionen utgör ett instrument för det mellanstatliga samarbetet inom den tredje pelaren såvitt avser överträdelser av nationell lagstiftning.

På grund av juridiska problem både på gemenskapsrättslig och nationell nivå har TIS-konventionen ännu inte trätt i kraft utan tillämpas provisoriskt, och därmed har inte heller tullinformationssystemet ännu tagits i full drift.

3.9.2. Tullinformationssystemet i huvuddrag

Informationsutbyte inom landet och med tullmyndigheter i andra länder är inte någon ny företeelse. Nyheten med EU:s tullinformationssystem är att medlemsstaterna överenskommit om att upprätta en gemensam internationell databas för att underlätta informationsutbytet mellan tullmyndigheterna för deras verksamhet med att förebygga, utreda och lagföra brottslighet som tullmyndigheterna har att bekämpa.

Den nya EG-förordningen 515/97 om ömsesidigt bistånd är avsedd att stärka samarbetet mellan medlemsstaterna och mellan medlemsstaterna och kommissionen för att bekämpa bedrägerier som rör tullunionen och den gemensamma jordbrukspolitiken och därigenom stärka skyddet för gemenskapens finansiella intressen. Förordningen innehåller bestämmelser om medlemsstaternas myndigheters möjligheter och skyldigheter att bistå varandra för att förebygga och utreda överträdelser mot tull- och jordbrukslagstiftningen. I förordningen ingår också bestämmelser om inrättande av tullinformationssystemet som skall tillgodose behovet av snabb och effektiv informationsspridning för bekämpande av överträdelser med anknytning till EU:s tull- och jordbruksreglering.

Tullinformationssystemets materiella struktur är avsedd att också användas för det tullsamarbete som medlemsstaterna kommit överens om i TIS-konventionen. Tullinformationssystemet består av en central databas upprättad av kommissionen. Den centrala databasen skall vara åtkomlig via terminaler i varje medlemsstat och innehålla uppgifter som är nödvändiga för tullmyndigheternas brottsbekämpning avseende brott både mot nationell lagstiftning och mot EG:s tull- och jordbrukslagstiftning.

Tullinformationssystemet är tänkt att komma till användning i tullmyndigheternas arbete med att bekämpa brott mot såväl gemenskapens regler på tull- och jordbruksområdet som nationell lagstiftning som ligger under tullens ansvarsområde t.ex. narkotika- och alkoholsmuggling. Informationssystemet kommer därför att tillhöra två olika juridiska system, dels det gemenskapsrättsliga systemet med stöd av förordningen 515/97 om ömsesidigt bistånd och dels med stöd av TISkonventionen som en mellanstatlig överenskommelse. Konventionens

och förordningens bestämmelser om tullinformationssystemet är därför likartade.

3.9.3. TIS-konventionen

TIS-konventionen har utarbetats för att tullinformationssystemet skall kunna användas främst i tullmyndigheternas arbete med att bekämpa brott mot nationell lagstiftning. Konventionen ger den rättsliga grunden för informationsutbyte som rör misstankar och förslag till åtgärder mot illegal införsel av narkotika och andra varor som är föremål för in- och utförselrestriktioner enligt nationell lagstiftning. Konventionen är i det avseendet ett komplement till förordningen (EG) nr 515/97 om ömsesidigt bistånd som innehåller motsvarande och parallellt gällande bestämmelser om tullinformationssystemet.

Avsikten med konventionen är att medlemsstaterna skall skapa och upprätthålla ett gemensamt informationssystem för tulländamål som skall föras med hjälp av automatiserad databehandling. Ändamålet med tullinformationssystemet skall vara att i enlighet med bestämmelserna i konventionen bistå med att förebygga, utreda och lagföra grova överträdelser av nationella lagar genom att påskynda informationsspridningen och därmed öka effektiviteten av samarbets- och kontrollförfaranden hos tullmyndigheterna i medlemsstaterna.

Tullinformationssystemet skall bestå av en central databas och skall vara åtkomligt via terminaler som placerats i varje medlemsstat. Systemet skall endast innehålla uppgifter som är nödvändiga för att uppnå dess syfte. Endast vissa kategorier av personuppgifter får registreras och då bara sådana som avser personer som på grund av faktiska bevis misstänks för grova överträdelser.

Direkt tillgång till uppgifter i tullinformationssystemet skall vara förbehållen uteslutande de nationella myndigheter som varje medlemsstat utser. Varje medlemsstat skall utse en behörig tullmyndighet som nationellt skall ansvara för tullinformationssystemet.

Enligt artikel 17 i konventionen om användning av informationsteknologi skall varje medlemsstat utse en eller flera nationella tillsynsmyndigheter som skall ansvara för dataskydd avseende personuppgifter och dessa myndigheter skall genomföra en oberoende övervakning av sådana uppgifter som införts i tullinformationssystemet. Datainspektionen kommer med största sannolikhet att utses till nationell tillsynsmyndighet enligt TIS-konventionen genom en utvidgning av 4 § förordningen (1998:1192) med instruktion för Datainspektionen. Frågan handläggs för närvarande inom regeringskansliet.

Tillsynsmyndigheterna skall i överensstämmelse med sin respektive nationella lagstiftning oberoende övervaka och kontrollera att behandlingen och användningen av uppgifter som är lagrade i tullinformationssystemet inte kränker de berörda personernas rättigheter. För detta ändamål skall tillsynsmyndigheterna ha tillgång till tullinformationssystemet.

Envar får enligt konventionen be varje nationell tillsynsmyndighet att kontrollera uppgifter i tullinformationssystemet som rör den enskilde personen själv och den användning som har gjorts eller görs av dessa uppgifter. Denna rättighet regleras av lagar, förordningar och förfaranden i den medlemsstat där förfrågan görs. Om uppgifterna har införts av en annan medlemsstat skall kontrollen genomföras i nära samarbete med denna medlemsstats tillsynsmyndighet.

Företrädarna för de nationella tillsynsmyndigheterna skall ingå i en gemensam tillsynsmyndighet, som dock ännu inte formellt inrättats. Denna gemensamma tillsynsmyndighet skall bestå av två företrädare från varje medlemsstat som kommer från de respektive oavhängiga nationella tillsynsmyndigheterna. Den gemensamma tillsynsmyndigheten skall fullgöra sina uppgifter i enlighet med bestämmelserna i TIS-konventionen och 1981 års Strasbourgkonvention och med beaktande av rekommendationen om skydd för personuppgifter som förs av polismyndighet med hjälp av automatisk databehandling R (87) 15 av den 17 september 1987 som antagits av Europarådets ministerkommitté.

Den gemensamma tillsynsmyndigheten är behörig att övervaka tullinformationssystemets drift, att undersöka alla tillämpnings- och tolkningssvårigheter som kan uppstå under systemets funktion, att undersöka sådana problem som kan uppstå då de nationella tillsynsmyndigheterna i medlemsstaterna oberoende övervakar systemet eller då rätten till enskilda personers tillgång utövas och även att utarbeta förslag till gemensamma lösningar på problem. För att uppfylla sina åligganden, skall den gemensamma tillsynsmyndigheten ha tillgång till tullinformationssystemet.

3.9.4. Rådets förordning (515/97)

I förordningen fastställs hur de administrativa myndigheter som i medlemsstaterna är ansvariga för genomförandet av tull- och jordbrukslagstiftningen skall samarbeta med varandra och med kommissionen för att säkerställa att denna lagstiftning efterlevs inom ramen för ett gemenskapssystem. Förordningen är således avsedd att stärka samarbetet mellan medlemsstaterna och kommissionen för att bekämpa

bedrägerier som rör tullunionen och den gemensamma jordbrukspolitiken och därigenom stärka skyddet för gemenskapens finansiella intressen. Förordningen innehåller bestämmelser om de nationella myndigheternas möjligheter och skyldigheter att bistå varandra för att förebygga och utreda överträdelser mot tull- och jordbrukslagstiftningen. Förordningen innehåller också bestämmelser om tullinformationssystemet och vilka uppgifter som får införas i systemet.

Enligt artikel 37 i förordningen skall varje medlemsstat utse en eller flera nationella tillsynsmyndigheter som skall ansvara för dataskydd avseende personuppgifter och dessa myndigheter skall genomföra en oberoende övervakning av sådana uppgifter som införts i tullinformationssystemet. Datainspektionen har genom förordningen (1998:64) om tillämpning av Europeiska unionens tullinformationssystem utsetts till nationell tillsynsmyndighet i Sverige för skydd av personuppgifter i tullinformationssystemet. Datainspektionen har i fråga om tullinformationssystemet, om förordningen (EG) nr 515/97 inte föreskriver annat, samma befogenheter som enligt personuppgiftslagen.

I förordningen (1998:64) om tillämpning av Europeiska unionens tullinformationssystem ges också kompletterande bestämmelser till rådets förordning 515/97. Av förordningen framgår att Tullverket, svenska polismyndigheter, Kustbevakningen, Jordbruksverket och Läkemedelsverket är de myndigheter i Sverige som får använda uppgifter ur tullinformationssystemet, och att Tullverket är registeransvarigt för tullinformationssystemet i Sverige.

3.10. Eurodac

Europeiska unionens råd har antagit en förordning om inrättande av Eurodac. Eurodac är ett system för jämförelse av fingeravtryck och syftar till en effektiv tillämpning av Dublinkonventionen. Dublinkonventionen rör bestämmandet av den ansvariga staten för prövning av en ansökan om asyl som framställts i en av medlemsstaterna i EG.

Förordningen om Eurodac gäller direkt och kräver inte transformering till svensk rätt. Eurodac kommer att medföra ytterligare arbetsuppgifter för Datainspektionen, eftersom det på motsvarande sätt som inom det internationella polis- och tullsamarbetet skall finnas såväl en nationell som en gemensam tillsynsmyndighet som övervakar systemet.

I förordningen om Eurodac framhålls att det för tillämpning av Dublinkonventionen är nödvändigt att kunna fastställa den asylsökandes identitet och identiteten hos personer som grips i samband

med att de olagligen passerar gemenskapens yttre gränser. För att säkerställa en effektiv tillämpning av Dublinkonventionen är det också önskvärt att tillåta varje medlemsstat att kontrollera om en utlänning som befunnits uppehålla sig olagligen på dess territorium har ansökt om asyl i en annan medlemsstat.

Eftersom fingeravtryck utgör ett viktigt inslag för att exakt fastställa personers identitet, har det befunnits vara nödvändigt att inrätta ett system för att jämföra uppgifter om fingeravtryck.

Eurodac skall bestå av en central enhet, en elektronisk central databas, i vilken uppgifter om fingeravtryck m.m. skall behandlas för jämförelse mellan fingeravtryck från asylsökande och de kategorier av utlänningar som omfattas av förordningen.

Den centrala enheten skall inrättas inom kommissionen som skall ansvara för driften av den centrala databasen.

Förordningen om Eurodac kräver att alla medlemsstater skyndsamt tar fingeravtryck av alla fingrar på varje utlänning som är 14 år eller äldre och som grips av de behöriga kontrollmyndigheterna i samband med att utlänningen olagligen passerar en medlemsstats yttre gräns och inte avvisas. Uppgifter om ursprungsmedlemsstat med plats och datum för ansökan om asyl och uppgifter om fingeravtryck och kön m.m. skall skyndsamt överföras till den centrala enheten. Uppgifter som överförs till den centrala enheten används för att kontrollera om utlänningen tidigare har lämnat in en ansökan om asyl i en annan medlemsstat.

Förordningen innehåller bestämmelser om överföring av uppgifter om fingeravtryck till den centrala enheten, om registrering av sådana uppgifter och andra relevanta uppgifter i den centrala databasen, om lagring av sådana uppgifter, om jämförelse av uppgifterna med andra uppgifter om fingeravtryck, om överföring av resultaten av sådana jämförelser samt om blockering och radering av de registrerade uppgifterna.

Förordningen reglerar också kommissionens ansvar i fråga om den centrala enheten respektive medlemsstaternas ansvar i fråga om uppgifternas användning, datasäkerhet samt tillgång till och korrigering av registrerade uppgifter.

Dataskyddsdirektivet är tillämpligt i fråga om medlemsstaternas och den centrala enhetens behandling av personuppgifter inom ramen för Eurodacsystemet.

Medlemsstaterna skall tillse att den nationella tillsynsmyndigheten enligt dataskyddsdirektivet helt oberoende och i enlighet med nationell lagstiftning kontrollerar att den berörda medlemsstatens behandling av personuppgifter, däribland överföringen av uppgifterna till den centrala enheten, sker på ett lagligt sätt i enlighet med förordningen. Medlemsstaterna skall säkerställa att dess nationella tillsynsmyndighet har till-

gång till rådgivning från personer som har tillräckliga kunskaper om fingeravtryck. I Sverige kommer således dessa uppgifter som tillsynsmyndighet enligt Eurodac att åligga Datainspektionen.

Det skall även inrättas en oberoende gemensam tillsynsmyndighet som skall ha till uppgift att övervaka den centrala enhetens verksamhet för att säkerställa att de registrerades rättigheter inte kränks genom behandling eller användning av de uppgifter som den centrala enheten förfogar över. Dessutom skall tillsynsmyndigheten övervaka att den centrala enhetens överföring av personuppgifter till medlemsstaterna sker på ett lagligt sätt. Datainspektionen är som nationell tillsynsmyndighet representerad i den gemensamma tillsynsmyndigheten med två tjänstemän. Den gemensamma tillsynsmyndigheten kommer endast att finnas under en begränsad tid och skall upplösas när det oberoende övervakningsorganet European Data Protection Supervisor inrättas.

Den nationella tillsynsmyndigheten i varje medlemsstat skall bistå den registrerade med att utöva sina rättigheter enligt förordningen. Den nationella tillsynsmyndigheten i den medlemsstat som överförde uppgifterna och den nationella tillsynsmyndigheten i den medlemsstat där den registrerade vistas skall vidare bistå och på begäran ge råd till denne när han eller hon utövar sin rätt att korrigera eller radera uppgifter. Den registrerade får också begära bistånd hos den gemensamma tillsynsmyndigheten.

De första provkörningarna av Eurodac påbörjades den 3 december 2001, och Sverige är preliminärt bokad för provkörningar den 14 januari 2002. Ambitionen är att samtliga medlemsstater skall vara operativt anslutna i slutet av år 2002.

När det gäller Sverige befinner sig databehandlingsutrustningen hos Migrationsverket och verket svarar även för hanteringen av personuppgifter och torde således anses vara personuppgiftsansvarig för Eurodac enligt personuppgiftslagen.

Förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen innehåller visserligen bestämmelser om nationella svenska fingeravtrycksregister, men regelverket kan inte anses direkt tillämpligt vad gäller Eurodac. Utrikesdepartementet aviserar att arbetet med tillämpningsföreskrifter m.m. inom kort kan vara aktuellt att ta upp inom regeringskansliet.

4. Datainspektionens tillsynsverksamhet

4.1. Allmänt

Datainspektionen har som central förvaltningsmyndighet till uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet. Inspektionen skall informera om gällande regler och följa och beskriva utvecklingen på ITområdet när det gäller frågor som rör integritet och ny teknik. Datainspektionen är tillsynsmyndighet enligt bl.a. personuppgiftslagen och dataskyddsdirektivet och prövar frågor om tillstånd och utövar tillsyn enligt kreditupplysningslagen och inkassolagen.

Datainspektionen har tidigare också haft till uppgift att utfärda licens samt att pröva frågor om tillstånd och utöva tillsyn enligt datalagen.

4.2. Från tillstånd till tillsyn

Datalagens tillkomst år 1973 innebar bl.a. att personregister som fördes med hjälp av automatisk databehandling (ADB) inte fick inrättas eller föras utan tillstånd av Datainspektionen, såvida de inte inrättats genom beslut av riksdagen eller regeringen. I lagen infördes också bestämmelser om särskilda villkor för tillstånd att föra vissa slag av speciellt känsliga register, skyldigheter för de registeransvariga i fråga om användningen av personregister och om Datainspektionens befogenheter som tillsynsmyndighet.

4.2.1. Tillståndsprövningen enligt datalagen

Tillståndsprövningen enligt datalagen avsåg prövning av frågan om otillbörligt intrång i registrerads personliga integritet kunde befaras uppkomma. Vid prövningen beaktades bl.a. omständigheter som arten och mängden av de personuppgifter som skulle ingå i registret, hur och från vem uppgifterna skulle inhämtas samt den inställning till registret som förelåg eller kunde antas föreligga hos dem som kunde komma att registreras. Vidare beaktades särskilt att inte andra uppgifter eller andra personer skulle registreras än som stod i överensstämmelse med ändamålet med registret.

Till grund för Datainspektionens prövning låg den registeransvariges ansökan om tillstånd. Beviljades tillstånd meddelade Datainspektionen samtidigt beslut om ändamålet med registret. I den mån det behövdes för att förebygga risk för otillbörligt intrång i personlig integritet kunde även meddelas ett eller flera villkor. Förelåg särskilda skäl fick tillståndet begränsas till viss tid.

Regler om förfarandet vid ansökan om tillstånd fanns intagna i dataförordningen och i verkställighetsföreskrifter som Datainspektionen meddelat.

4.2.2. Ett förenklat ansöknings- och tillståndsförfarande

För att underlätta hanteringen av tillståndsärendena och förenkla tillståndsproceduren för den registeransvarige tillämpade Datainspektionen alltsedan verksamhetens början ett förenklat ansöknings- och tillståndsförfarande i fråga om mindre integritetskänsliga register. Det gällde ansökningar om tillstånd för personregister för vilka Datainspektionen utvecklat en fast praxis för bedömningen.

Närmare bestämmelser om vilka register som omfattades av detta förenklade förfarande och vilka särskilda villkor som måste vara uppfyllda fanns i Datainspektionens författningssamling (DIFS). Det formella stödet för föreskrifterna om det förenklade förfarandet var stadgandet i 8 § andra stycket dataförordningen, att Datainspektionen fick medge undantag från de krav som ställdes på en ansökan samt det generella stadgandet i förordningens 14 §, att ytterligare föreskrifter om verkställighet av datalagen meddelades av Datainspektionen.

Ansökningar om tillstånd enligt det förenklade förfarandet gjordes på särskilda blanketter och blev inte föremål för någon egentlig prövning. I tillståndsbeslutet som expedierades till den registeransvarige, angavs att som villkor skulle gälla dels vad som angivits i ansökan, dels

de bestämmelser som angivits i aktuell DIFS såsom villkor för det förenklade förfarandet.

4.2.3. Integritetsskyddet enligt datalagen

Utgångspunkten för integritetsskyddet inom datalagens område var således att Datainspektionen skulle pröva om tillstånd till inrättande och förande av ett personregister kunde beviljas. Även en ändring eller utvidgning av registret krävde tillstånd.

När det gäller Datainspektionens verksamhet blev emellertid utvecklingen en annan än man räknat med vid datalagens tillkomst. Bland annat som en följd av den datortekniska utvecklingen under 1970-talet visade det sig att antalet tillståndsärenden blev betydligt större än man först trott. Tillströmningen av tillståndsärenden kunde i stora delar också tillskrivas utformningen av datalagens tillståndsbestämmelser. Trots tillämpningen av det förenklade tillståndsförfarandet blev Datainspektionen tvungen att koncentrera sina resurser på tillståndsverksamheten på bekostnad av tillsynsverksamheten.

Frågan om tillståndstvång för alla register var redan vid datalagens tillkomst föremål för diskussion. En förprövning genom tillståndskrav medförde obestridliga fördelar ur integritetssynvinkel, men innebar också en byråkratisk belastning för de registeransvariga samtidigt som Datainspektionen måste lägga ned mycket arbete på tillståndsprövning inte bara av känsliga register utan även av register som var relativt ofarliga från integritetsskyddssynpunkt. De grundläggande principerna för tillståndsförfarandet kvarstod dock oförändrade under hela 1970talet.

I augusti 1981 avlämnade Datalagskommittén (DALK) promemorian (Ds Ju 1981:15-16) Tillstånd och tillsyn enligt datalagen. I promemorian lade DALK fram förslag till åtgärder för att rationalisera Datainspektionens verksamhet på kort sikt. DALK antog att antalet tillståndsärenden sannolikt skulle komma att öka än mer de närmaste åren. Det ansågs angeläget att Datainspektionens verksamhet i stället försköts i riktning mot ökad tillsynsverksamhet. DALK lämnade därför ett förslag som byggde på att tillståndsplikten begränsades till särskilt integritetskänsliga register och att det för övriga register skulle räcka med en anmälan från den registeransvarige om att denne förde personregister. För de register för vilka en anmälan var tillräckligt skulle vidare gälla att de fick föras först sedan Datainspektionen utfärdat en licens. Avsikten var att Datainspektionen skulle kunna koncentrera sina resurser på sådant som verkligen var betydelsefullt från integritetsskyddssynpunkt, och att man skulle förenkla för de registeransvariga.

Reglerna om en begränsad tillståndsplikt och ett anmälningsförfarande med tillhörande licens trädde i kraft år 1982.1

4.2.4. Licenssystemet

Den som ville inrätta och föra ett personregister skulle alltså göra en anmälan till Datainspektionen för licens. Varje licens berättigade den registeransvarige att föra ett eller flera personregister som inte omfattades av tillståndsplikten.

För licensen betalade den registeransvarige en årlig avgift. Datainspektionen förde sedan ett register omfattande alla licenshavare, benämnt LIRE. Registret tillfördes varje år ett antal nya licenshavare, samtidigt som ett antal avlägsnades genom att t.ex. verksamheter upphörde eller lades samman. Licensregistret utgjorde bl.a. underlag för inspektionens avgiftsdebitering och eventuella tillsynsåtgärder, antingen individuella eller branschvisa. Registret användes också som underlag för Datainspektionens informationsverksamhet. Antalet licenser ökade under perioden 1983–1990 från 8 500 till drygt 38 500.

Avsikten med 1982 års reform var att begränsa mängden tillståndsärenden och därigenom göra det möjligt för Datainspektionen att koncentrera sig på de mest känsliga registren och att kunna intensifiera sin tillsynsverksamhet. Effekten av lagändringen blev dock endast i begränsad omfattning den avsedda. Antalet tillståndsärenden fortsatte att öka och antalet inspektioner sjönk.

Den viktigaste orsaken till den ökande tillströmningen av ansökningar var givetvis den fortgående datoriseringen i samhället. Tillståndsansökningarna innefattade dessutom både behandling av känsliga uppgifter och behandlingar som från integritetssynpunkt framstod som tämligen harmlösa och det visade sig att det var svårt att dra en klar gräns mellan dessa två kategorier. Följden blev att Datainspektionen kom att ägna en stor del av sin tid åt att granska behandling som egentligen inte borde bli föremål för den relativt omfattande procedur som en tillståndsprövning innebar.

1 SFS 1982:446.

4.2.5. Datainspektionens förslag till ändringar i datalagen

Datainspektionen överlämnade i november 1988 en skrivelse, ”Vissa ändringar i datalagen m.m.”, till justitiedepartementet med förslag till ändringar som enligt Datainspektionens mening borde genomföras i väntan på en genomgripande översyn av datalagen. I skrivelsen och en bilagd promemoria föreslog Datainspektionen ändringar i datalagen vilka syftade till förenklingar för de registeransvariga och inspektionen i sådana fall då tillståndskravet föranledde resursinsatser som enligt inspektionen inte motiverades av integritetsskyddet.

Datainspektionen konstaterade att effekterna av lagändringarna den 1 juli 1982 bara i begränsad omfattning blivit de avsedda. Bortfallet av tillståndspliktiga ärenden, som tidigare hade kunnat handläggas tämligen summariskt, uppvägdes av andra ärenden. Antalet tillståndsärenden hade ökat och lett till att en avsevärd del av inspektionens totala kapacitet gick åt för handläggning av ansökningar om tillstånd att inrätta och föra personregister eller att få tillstånd för en ändring eller utvidgning i tidigare meddelade tillstånd. I flertalet fall avsåg dessa ansökningar situationer i vilka Datainspektionen utvecklat en fast praxis för bedömningen. För sådana typsituationer ansåg Datainspektionen att det ofta fanns goda möjligheter att sörja för skyddet för den personliga integriteten på ett annat och bättre sätt än genom att upprätthålla ett tillståndstvång.

Enligt Datainspektionens uppfattning förelåg det ett betydande intresse bland de registeransvariga inom olika sektorer att organisera sitt ADB-stöd så att otillbörliga intrång i personlig integritet undveks. Enligt Datainspektionen betydde de insatser myndigheten kunde göra för att tillgodose krav och förväntningar från de registeransvariga på råd och information mer för skyddet av den personliga integriteten än t.ex. det tillståndstvång som band inspektionens resurser. Genom att engagera bransch- och områdesföreträdare i utvecklingen av normer för personregistreringen på olika områden i samhället ansåg inspektionen att det kunde spridas en fördjupad kunskap om och en större förståelse för integritetsfrågorna.

Enligt Datainspektionens uppfattning hade datoranvändningen vid slutet av 1980-talet nått en sådan omfattning att det var nödvändigt att ifrågasätta hela systemet med tillstånd i varje särskilt fall när register som var tillståndspliktiga skulle inrättas. Datainspektionen förutsåg en utveckling under 1990-talet där terminaler och persondatorer var lika vanliga arbetsredskap som telefoner. Enligt inspektionens mening måste därför skyddet för den personliga integriteten företrädesvis

bygga på andra metoder än förhandsgranskning av varje tilltänkt personregister.

Datainspektionen fann det därför nödvändigt att bygga integritetsskyddet på en högre grad av verksamhetsanpassad författningsreglering och branschvis självreglering. Nödvändiga förutsättningar härför var dock enligt inspektionen att datalagens regler om vad den registeransvarige skulle iaktta för att undvika intrång i den personliga integriteten förtydligades och skärptes i olika hänseenden samt att underlåtenhet att rätta sig efter bestämmelserna ledde till påföljd direkt enligt datalagen.

Datainspektionen föreslog i promemorian att myndigheten gavs befogenhet att beträffande vissa slag av personregister föreskriva undantag från lagens krav på tillstånd för att få inrätta och föra register, och att meddela generella föreskrifter för att förhindra intrång i personlig integritet beträffande de register som undantogs från tillståndsplikten.

Datainspektionens förslag till ändringar godtogs i huvudsak av flertalet remissinstanser. De remissinstanser som anslutit sig helt eller i huvudsak till Datainspektionens förslag till åtgärder betonade överlag behovet av att förenkla Datainspektionens hantering av tillståndsärenden och flytta över Datainspektionens resurser till tillsyn och information. De flesta ansåg att en sådan resursöverflyttning innebar en förbättring av integritetsskyddet.

4.2.6. Förslag till ny datalag

I november 1989 påbörjade Datalagsutredningen sitt arbete med att göra en översyn av datalagen från såväl saklig som lagteknisk synpunkt. I delbetänkandet (SOU 1990:61) Skärpt tillsyn – huvuddrag i en reformerad datalag redovisade utredningen överväganden och förslag om principiella utgångspunkter för en framtida datalag, med särskild inriktning på Datainspektionens tillsynsverksamhet.

Avsikten med att omfördela Datainspektionens resurser till att i större utsträckning kunna användas för tillsynsverksamhet, framhöll Datalagsutredningen, har hela tiden varit att detta skulle innebära ett stärkt integritetsskydd. Datainspektionens arbete skulle då kunna inriktas på att mera effektivt kontrollera att skyddet för den personliga integriteten upprätthålls såväl inom den offentliga som den enskilda sektorn.

Datalagsutredningen angav att som utgångspunkt för en mera genomgripande förändring av datalagen och renodling av Datainspektionens verksamhet mot utökad tillsyn skulle följande gälla. Datalagen

borde, som tidigare, innehålla de grundläggande bestämmelserna för integritetsskyddet, medan den konkreta anpassningen till skilda sektorer och områden borde ske genom en regelutfyllnad från Datainspektionen och en kontroll från inspektionens sida. Härigenom skulle det vara möjligt, ansåg utredningen, att följa och förekomma den snabba utvecklingen på det informationsteknologiska området på ett sätt som inte skulle gå att genomföra, om datalagen skulle innehålla en fullständig reglering för alla områden och branscher.

Datalagsutredningens förslag ledde aldrig fram till en ny datalag eller några mera betydande förändringar av datalagen vad gäller tillståndstvånget och Datainspektionens tillsynsverksamhet. Genom ändringar i regeringsformen och datalagen fick dock Datainspektionen via delegering från regeringen vissa normgivningsbefogenheter att utfärda generella regler på dataområdet vad gäller skyddet för den personliga integriteten vid behandling av personuppgifter. Härigenom kunde Datainspektionen utfärda generella bransch- och sektorsföreskrifter.2 Samtidigt infördes ett undantag från tillståndsplikten för sådana register som inrättades och fördes i enlighet med sådana av Datainspektionen meddelade föreskrifter.3 Ändringen syftade till att minska Datainspektionens tillståndshantering och därigenom lämna mer utrymme för tillsynsverksamheten.

4.2.7. Personuppgiftslagen

Genom ikraftträdandet av personuppgiftslagen, den 24 oktober 1998, har Sverige fått en teknikoberoende lag som omfattar såväl automatiserad som viss manuell behandling av personuppgifter. Datalagens tillståndskrav för behandling av personuppgifter är nu helt borta, och Datainspektionens uppgift att utöva tillsyn har än mer betonats.

Lagen innehåller i stället bestämmelser om när behandling av personuppgifter är tillåten. För behandling av känsliga personuppgifter gäller särskilt stränga regler. Automatiserade behandlingar av personuppgifter måste i princip anmälas till Datainspektionen, men omfattande undantag från denna anmälningsskyldighet medges. Sådana behandlingar av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten skall anmälas till Datainspektionen för förhandskontroll.

Den som bryter mot lagen kan drabbas av ingripanden från Datainspektionen, t.ex. vitesföreläggande, skadestånd eller straff.

2Prop. 1993/94:116, SFS 1994:1480 och 1994:1485. 3Prop. 1993/94:217, SFS 1994:1485.

4.3. Datainspektionens uppgifter och befogenheter som tillsynsmyndighet

4.3.1. Datainspektionens befogenheter enligt datalagen

Enligt reglerna i 1519 §§datalagen var det Datainspektionens ansvar att utöva tillsyn över att automatisk databehandling inte medförde otillbörligt intrång i personlig integritet. Som ett övergripande krav för tillsynsverksamheten gällde att den skulle utövas så att den inte vållade större kostnad eller olägenhet än som var nödvändigt.

Enligt datalagen hade Datainspektionen rätt att för tillsyn få tillträde till lokal där automatisk databehandling utfördes eller där datamaskin eller utrustning eller upptagning för automatisk databehandling förvarades. Inspektionen hade också rätt att få tillgång till handling som rörde automatisk databehandling och att föranstalta om körning av datamaskin.

Den registeransvarige eller den som för dennes räkning förde personregister skulle lämna Datainspektionen de uppgifter rörande den automatiska behandlingen som inspektionen begärde för sin tillsyn. Den registeransvarige var vidare skyldig att på Datainspektionens begäran sända in den s.k. § 7 a-förteckningen. Hos den registeransvarige skulle enligt 7 a § datalagen föras en aktuell förteckning över de personregister som han eller hon var ansvarig för.

Datainspektionen hade dessutom under vissa förutsättningar rätt att vid vite ge föreskrifter rörande personregister. Om det inte gick att skydda den personliga integriteten mot otillbörliga intrång på något annat sätt, fick Datainspektionen vid vite förbjuda fortsatt förande av ett personregister eller återkalla ett meddelat tillstånd.

Det fanns slutligen möjlighet för domstol att förklara ett personregister förverkat om det inte var uppenbart obilligt.

4.3.2. Datainspektionens befogenheter enligt personuppgiftslagen

Reglerna i personuppgiftslagen om Datainspektionens befogenheter motsvarar i stor utsträckning de regler som gällde enligt datalagen. Till följd av skillnaden i utformningen av bestämmelserna i personuppgiftslagen gentemot datalagen är myndighetens befogenheter enligt personuppgiftslagen dock knutna till all helt eller delvis automatiserad

behandling av personuppgifter och inte enbart förandet av personregister.

I 4347 §§personuppgiftslagen finns de bestämmelser om Datainspektionens befogenheter som har ansetts kräva lagform. Endast en del av de bestämmelser om tillsynsmyndighetens befogenheter som finns upptagna i dataskyddsdirektivet har ansetts nödvändiga att ta in i personuppgiftslagen. Vissa av de krav som EG-direktivet uppställer har ansetts uppfyllda redan genom annan lagstiftning eller bedömts kunna genomföras i annan form än genom lag.

Avsikten är att regeringen i förordning skall ge föreskrifter om flera av de uppgifter och befogenheter som tillsynsmyndigheten skall ha enligt dataskyddsdirektivet. Utöver de uppgifter för Datainspektionen som följer av dataskyddsdirektivet skall inspektionen särskilt ha till uppgift att informera om gällande regler om behandling av personuppgifter och att på lämpligt sätt ge råd och hjälp åt såväl registrerade som personuppgiftsansvariga. Dessa Datainspektionens uppgifter framgår av förordningen (1998:1192) med instruktion för Datainspektionen.

De bestämmelser som tagits in i lagen är de som rör befogenheter, som tillsynsmyndigheten givits för sin tillsyn, och befogenheter för att kunna ingripa mot olaglig behandling.

För att Datainspektionen på ett så effektivt sätt som möjligt skall kunna utöva tillsyn över den behandling av personuppgifter som förekommer har myndigheten för sin tillsyn enligt personuppgiftslagen rätt att på begäran få tillgång till de personuppgifter som behandlas, upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna och tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter.

Rätten att få tillgång till behandlade personuppgifter innefattar naturligtvis en rätt att beordra de körningar och andra åtgärder som behövs för att få fram alla de personuppgifter som behandlas.

Möjlighet att förelägga vite

För den händelse den personuppgiftsansvarige skulle obstruera och inte ge Datainspektionen det den behöver för tillsynen måste myndigheten ha maktmedel att ta till.

Sådan behandling av personuppgifter som omfattas av personuppgiftslagen kan förekomma t.ex. i någons hem eller i en dator som någon bär på sig. Det kan i en och samma dator också förekomma såväl behandling av uppgifter som omfattas av lagen som rent privat behandling av högst personliga uppgifter som inte omfattas av lagen.

Det har därför befunnits olämpligt med regler som innebär att myndigheten skulle få genomdriva sina rättigheter med t.ex. polishjälp. Det skulle kunna leda till ett större intrång i den personliga integriteten än det intrång som Datainspektionens tillsynsverksamhet syftar till att förebygga. I personuppgiftslagen föreskrivs i stället att inspektionen vid vite kan förbjuda behandling av personuppgifter.

Syftet med Datainspektionens tillsyn och myndighetens rättigheter i samband med den är ytterst att myndigheten skall kunna konstatera om den behandling av personuppgifter som utförs är laglig, dvs. att samtliga bestämmelser i personuppgiftslagen och i andra författningar som rör behandling av personuppgifter följs.

Kan Datainspektionen inte på begäran få tillgång till ett tillräckligt underlag för att konstatera att behandlingen är laglig, kan myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta behandla personuppgifter på annat sätt än genom att lagra dem. Den som obstruerar riskerar således att bli förbjuden att i fortsättningen behandla personuppgifter. Den risken antas medföra att de personuppgiftsansvariga blir tillräckligt benägna att ge myndigheten det underlag den behöver.

Datainspektionen kan på olika sätt få reda på att personuppgifter behandlas eller kan komma att behandlas på ett olagligt sätt. Sådan information kan komma fram i samband med ett tillsynsbesök, framgå av kontakter med ett personuppgiftsombud eller av en insänd anmälan om behandlingen eller av ett klagomål från t.ex. någon registrerad eller konkurrent. Även genom uppgifter i massmedia kan Datainspektionen få sådan information.

I dylika fall bör myndigheten i första hand försöka att åstadkomma rättelse genom påpekanden eller liknande förfaranden. Men går det inte att få rättelse på annat sätt, kan som nämnts myndigheten vid vite förbjuda den personuppgiftsansvarige att fortsätta att behandla personuppgifter på annat sätt än genom att lagra dem.

I fråga om Datainspektionens möjlighet att föreskriva vite gäller generellt att den personuppgiftsansvarige skall få tillfälle att yttra sig innan myndigheten föreskriver om vite. Om det är riskfyllt att vänta med beslutet om vite till dess den personuppgiftsansvarige fått möjlighet att yttra sig, kan dock inspektionen fatta ett tillfälligt beslut om vite. Enligt lagstiftaren kan det i vissa undantagsfall vara nödvändigt att tillsynsmyndigheten kan agera snabbt och kraftfullt för att skydda de registrerades personliga integritet. Som exempel nämns när det av en personuppgiftsansvarigs anmälan om behandling av känsliga personuppgifter, som inte alls får utföras enligt personuppgiftslagen, framgår att behandlingen skall starta redan om någon dag. Möjligheten att innan den personuppgiftsansvarige fått komma till

tals meddela ett tillfälligt beslut bör dock utnyttjas bara när saken är klar och så brådskande att yttrandet inte kan avvaktas. Det tillfälliga beslutet om vite skall sedan omprövas när yttrandetiden har gått ut och det finns ett mera fullständigt underlag.

Av lagen (1985:206) om viten framgår att frågan om utdömande av ett förelagt vite prövas av länsrätt på ansökan av den myndighet som har utfärdat vitesföreläggandet, i detta fall Datainspektionen. I förarbetena till personuppgiftslagen framhålls att vite inte skall dömas ut, om ändamålet med vitet har förfallit och att Datainspektionen skall återkalla ett meddelat vitesföreläggande så snart den personuppgiftsansvarige har gjort vad som krävs av honom eller henne. Ett förbud vid vite att behandla personuppgifter på annat sätt än genom att lagra dem kommer alltså att gälla bara till dess den personuppgiftsansvarige har botat den försummelse som föranledde förbudet.

Beslut om säkerhetsåtgärder

Datainspektionen kan fatta beslut om vilka säkerhetsåtgärder som en personuppgiftsansvarig skall vidta. Enligt förarbetena kan den personuppgiftsansvarige genom ett beslut i det enskilda fallet få veta exakt vilka åtgärder han eller hon måste vidta för att uppfylla säkerhetskraven.

Om den personuppgiftsansvarige inte följer ett beslut om säkerhetsåtgärder, som har vunnit laga kraft, kan Datainspektionen föreskriva vite för att beslutet skall genomföras. Ett beslut om säkerhetsåtgärder i det enskilda fallet skall riktas till den personuppgiftsansvarige även när ett personuppgiftsbiträde har anlitats.

Bestämmelser om säkerhetsåtgärder kan även finnas i annan lagstiftning, t.ex. arkivlagen (1990:782). Sådana bestämmelser gäller vid sidan av bestämmelser om skyddsåtgärder enligt personuppgiftslagen med anknytande författningar och beslut. Den personuppgiftsansvarige måste således uppfylla alla de regler om säkerhetsåtgärder som kan ha meddelats för hans eller hennes verksamhet.

Ansökan om utplånande av personuppgifter

Datainspektionen kan också ansöka hos länsrätt om att sådana personuppgifter som har behandlats på ett olagligt sätt skall utplånas. Den möjligheten kan användas t.ex. när känsliga personuppgifter har behandlats trots att den personuppgiftsansvarige inte alls har haft rätt att behandla sådana uppgifter. Möjligheten att ansöka om utplånande

bör bara användas i sådana fall där det inte genom andra åtgärder är möjligt att förena behandlingen av uppgifterna med de regler som gäller. Domstolen får dock inte besluta om utplånande, om det skulle vara oskäligt.

Överklagande

Datainspektionens beslut som gäller annat än generella föreskrifter får utan undantag överklagas hos allmän förvaltningsdomstol, dvs. länsrätt. Prövningstillstånd krävs vid överklagande till kammarrätten. Datainspektionen får bestämma att dess beslut skall gälla även om det överklagas.

Eftersom personuppgiftslagen till skillnad från datalagen inte innebär att en tillsynsmyndighet genom sin tillståndsgivning i praktiken skall bestämma vilken personregistrering som skall tillåtas, har det inte ansetts nödvändigt att ta med någon bestämmelse om överklaganderätt för Justitiekanslern i den nya lagen.

4.3.3. Datainspektionens befogenheter enligt kreditupplysningslagen

Datainspektionen skall utöva sin tillsyn enligt kreditupplysningslagen så att den inte vållar större kostnad eller olägenhet än som är nödvändigt.

Inspektionen har rätt att företa inspektion hos den som bedriver kreditupplysningsverksamhet och att ta del av samtliga handlingar som rör verksamheten. Den som bedriver kreditupplysningsverksamhet skall också lämna Datainspektionen de upplysningar om verksamheten som inspektionen begär för sin tillsyn.

Om den som har rätt att bedriva kreditupplysningsverksamhet åsidosätter en bestämmelse i kreditupplysningslagen får Datainspektionen förelägga honom eller henne att vidta rättelse, besluta om att ändra ett villkor som tidigare meddelats eller meddela ett nytt villkor.

Om rättelse inte kan åstadkommas på något annat sätt får Datainspektionen återkalla tillstånd som Datainspektionen meddelat. Detsamma gäller, om förutsättningarna för tillståndet i övrigt inte längre föreligger.

Om ett företag som inte behöver Datainspektionens tillstånd för att bedriva kreditupplysningsverksamhet, t.ex. bank eller kreditmarknadsföretag, inte vidtar rättelse skall Datainspektionen underrätta Finansinspektionen. Om ett utländskt bankföretag eller kreditinstitut inte

vidtar rättelse, skall Datainspektionen underrätta den behöriga myndigheten i företagets hemland. Om rättelse ändå inte sker, får Datainspektionen förbjuda företaget att göra nya åtaganden här i landet. Innan förbud meddelas skall dock inspektionen underrätta den behöriga myndigheten i företagets hemland. Endast i brådskande fall får inspektionen meddela förbud utan föregående underrättelse till hemlandsmyndigheten. Denna skall då i stället underrättas så snart det kan ske.

Möjlighet att förelägga vite

Om den som bedriver kreditupplysningsverksamhet underlåter att lämna tillgång till handling eller att lämna upplysning som är nödvändig för Datainspektionens inspektionsverksamhet får Datainspektionen förelägga vite.

Om ett kreditupplysningsföretag underlåter att ge en omfrågad person information i samband med en kreditupplysning eller att rätta oriktiga eller missvisande uppgifter, kan Datainspektionen också förelägga företaget att vid vite fullgöra sina åligganden. Detsamma gäller om företaget underlåter att ge en person besked om huruvida det i kreditupplysningsverksamheten finns uppgifter om honom eller henne och vad de har för innehåll.

Överklagande

Datainspektionens beslut enligt lagen får överklagas hos allmän förvaltningsdomstol, dvs. länsrätt. Prövningstillstånd krävs vid överklagande till kammarrätten. Justitiekanslern får föra talan för att ta till vara allmänna intressen.

4.3.4. Datainspektionens befogenheter enligt inkassolagen

Även tillsynen enligt inkassolagen skall utövas så, att den inte vållar större kostnader eller olägenheter än som är nödvändigt. Datainspektionens tillsyn enligt inkassolagen omfattar dock inte verksamhet som bedrivs av företag under Finansinspektionens tillsyn eller av advokater.

Datainspektionen har rätt att företa inspektion hos den som bedriver inkassoverksamhet och att ta del av samtliga handlingar som rör verksamheten. Den som bedriver verksamheten skall lämna Data-

inspektionen de upplysningar om verksamheten som inspektionen begär för sin tillsyn.

Om Datainspektionens tillsyn föranleder det, kan inspektionen meddela föreskrifter om hur inkassoverksamheten skall bedrivas och om skyldighet att anmäla ändring av förhållanden som har haft betydelse för tillståndet att bedriva inkassoverksamheten.

Om den som har fått tillstånd att bedriva inkassoverksamhet åsidosätter bestämmelse i inkassolagen eller föreskrift som har meddelats med stöd av lagen och rättelse inte vidtas eller om förutsättningarna för tillståndet i övrigt inte längre föreligger, får Datainspektionen återkalla tillståndet.

Möjlighet att förelägga vite

Om den som bedriver verksamheten underlåter att lämna tillgång till handling eller att lämna upplysning får inspektionen förelägga vite. Också föreskrifter som Datainspektionen har meddelat om hur inkassoverksamheten skall bedrivas får förenas med vite.

Överklagande

Datainspektionens beslut enligt inkassolagen får som beslut enligt kreditupplysningslagen överklagas hos allmän förvaltningsdomstol. Justitiekanslern får föra talan för att ta till vara allmänna intressen.

4.4. Datainspektionens inspektionsverksamhet

4.4.1. Skrivbords- och fältinspektioner

Datainspektionens inspektionsverksamhet bedrivs antingen genom skrivbordsinspektioner eller fältinspektioner. Inspektionerna initieras av klagomål från någon person eller genom att massmedia uppmärksammar att behandling av personuppgifter lett till intrång i den personliga integriteten. Datainspektionen vidtar även inspektioner på helt eget initiativ.

Vid skrivbordsinspektioner försöker Datainspektionen få klarhet i hur behandlingen av personuppgifter går till i det aktuella fallet genom att skicka ett föreläggande till den personuppgiftsansvarige och uppmana denne att yttra sig i frågan. Efter att yttrandet inkommit fattar

inspektionen beslut i ärendet, vilket kan innebära att den personuppgiftsansvarige skall rätta eller ta bort uppgifter som denne behandlar. En stor del av tillsynen löses på detta sätt.

Den andra formen av inspektion, fältinspektion, innebär att inspektörer från Datainspektionen besöker den personuppgiftsansvarige för att på plats gå igenom dennes behandling av personuppgifter. Denna form av inspektion bedrivs efter klagomål från enskild eller på grund av uppgifter i massmedia när Datainspektionen gör bedömningen att en skrivbordsinspektion inte är tillräcklig.

Datainspektionen bedriver också fältinspektioner på eget initiativ utan att det uppkommit någon särskild anledning till att inspektera ett speciellt objekt på grund av klagomål eller dylikt.

Inspektörer från Datainspektionen har t.ex. besökt vissa städer i Sverige under upp till tre dagar, företrädesvis residensstäder. Sådana inspektionsresor har planerats på myndigheten genom att lämpliga objekt valts ut. Objekten har i förväg meddelats om när myndigheten avser att komma på inspektion. Detta har gjorts för att den personuppgiftsansvarige skall kunna ställa upp med de rätta personerna för att svara på frågor om hur datasystemen används m.m.

Vid dessa inspektioner har sex till sju inspektörer från Datainspektionen arbetat och inspektionens egna tekniker har alltid deltagit. Det senare för att myndigheten skall kunna tala samma språk som tillsynsobjekten. Inspektionsobjekten har varit såväl myndigheter som företag. Ungefär 15 inspektionsobjekt har besökts vid varje tillfälle.

I samband med inspektionsresorna har även tagits kontakt med lokala massmediaföreträdare för att ta tillfället i akt att informera om Datainspektionens inspektionsverksamhet, och om rättigheter och skyldigheter i samband med behandling av personuppgifter.

Förutom dessa inspektionsresor, som förbereds och anmäls till inspektionsobjekten, utför Datainspektionen också oanmälda inspektioner. Detta sker t.ex. när inspektionen får kännedom om att något oegentligt pågår som man snabbt vill informera sig om och eventuellt kunna sätta stopp för.

4.4.2. Temainspektioner

En särskild form av inspektionsinsats som Datainspektionen utför sedan den senare hälften av 1990-talet är temainspektioner. En temainspektion omfattar en bred och djup granskning av en bransch eller sektor. En sådan granskning tar mer tid och större resurser i anspråk än en sedvanlig inspektion. Temainspektionerna genomförs både som fältinspektioner och som skrivbordsinspektioner. Resultaten av tema-

inspektioner sammanställs i rapporter som sprids till berörda branscher och sektorer. I rapporterna ger Datainspektionen också rekommendationer till andra personuppgiftsansvariga inom samma bransch eller sektor. Datainspektionen har t.ex. gjort temainspektioner av sjukvårdens patientjournalsystem, resebyråers och transportföretags bokningssystem samt teleoperatörers och bankers datorsystem. Datainspektionen har också i en enkät till statliga myndigheter undersökt i vilken omfattning de säljer uppgifter från sina register.

4.4.3. Inspektion av IT-säkerhet

Vid inspektionerna kontrolleras även IT-säkerheten av inspektörer med teknisk kompetens. Kontrollen omfattar rutinmässigt fysisk säkerhet, tillträdes- och behörighetskontroll, behandlingshistorik, säkerhetskopiering, datakommunikation, utplåning, reparation och service. Kontroll sker även av skydd mot skadliga program.

Även inspektioner som avser uteslutande IT-säkerheten förekommer.

4.4.4. Inspektioner enligt personuppgiftslagen

Sedan personuppgiftslagen trätt i kraft har Datainspektionen i sin tillsynsverksamhet strävat efter att finna inspektionsobjekt som utför behandlingar enligt personuppgiftslagen. Vid inspektioner enligt datalagen har de registeransvariga regelmässigt tillfrågats om de också behandlar eller snart kommer att påbörja behandling av personuppgifter enligt personuppgiftslagen.

Inspektionens tillsynsinsatser har visat att så sent som i början av år 2001 hade de flesta ännu inte börjat utföra några behandlingar enligt personuppgiftslagen, eller att det i vart fall inte skedde i någon större utsträckning. Övergångstiden mellan datalagen och personuppgiftslagen innebar alltså inte någon successiv övergång till de nya reglerna utan personuppgiftslagen kom i full tillämpning först den 1 oktober 2001.

Anmälan om förhandskontroll

En ny uppgift i Datainspektionens tillsynsverksamhet i och med införandet av personuppgiftslagen är hanteringen av obligatoriska anmälningar om förhandskontroll av särskilt integritetskänsliga behandlingar.

Anmälan om förhandskontroll är obligatorisk när det gäller vissa behandlingar för forskningsändamål och när det gäller behandling av personuppgifter om genetiska anlag som framkommit efter genetisk undersökning. Därutöver skall vissa behandlingar som polisen, tullen eller skattemyndigheterna utför anmälas för förhandskontroll. Ärendena kräver skyndsam hantering, eftersom inspektionen inom tre veckor skall lämna yttrande om behandlingen är laglig.

I samband med anmälan om förhandskontroll har Datainspektionen både muntlig och skriftlig kontakt med den personuppgiftsansvarige och kan också besöka den som gjort anmälan för att sätta sig in i de aktuella frågorna.

Under perioden juli 2000–juni 2001 inkom det sammanlagt 56 anmälningar om förhandskontroll, varav 39 avsåg behandlingar för forskningsändamål och 17 var anmälningar från polisen.

4.4.5. Inspektionsverksamhetens omfattning och inriktning

Som beskrivits tidigare har Datainspektionens verksamhet under lång tid präglats av handläggning av tillstånd och licenser vilket medfört att tillsynsverksamhet fått stå tillbaka. Under 1990-talet har dock en successiv ökning av antalet inspektioner skett. I detta avsnitt ges en översiktlig beskrivning av omfattningen av Datainspektionens inspektionsverksamhet under 1990-talet och år 2000–2001, och en del exempel på vilka tillsynsobjekt som har inspekterats. Uppgifterna är i huvudsak hämtade från Datainspektionens årsredovisningar.

Med inspektioner avses här de åtgärder som inneburit att Datainspektionen på plats undersökt behandlingen av personuppgifter.

Under verksamhetsåret 1991/92 genomförde Datainspektionen sammanlagt 26 fältinspektioner. Ett mycket omfattande tillsynsärende avsåg forskningsregister vid socialmedicinska institutionen vid Huddinge sjukhus. Under året slutförde Datainspektionen också omfattande tillsynsaktiviteter hos de två marknadsledande kreditupplysningsföretagen, UpplysningsCentralen och Soliditet. Företagen hade vid denna tidpunkt i sina register uppgifter om samtliga människor i Sverige över 15 år, dvs. omkring 7 miljoner personer. Dessutom ingick uppgifter om ungefär en halv miljon juridiska personer. Inspektionerna ledde till att Datainspektionen meddelade kompletterande föreskrifter om bl.a. bearbetning, utlämnande, gallring och ADB-säkerhet.

Under verksamhetsåret 1992/93 ökade antalet inspektioner med mer än 150 % till sammanlagt 66. Inom den offentliga sektorn genomfördes bl.a. fem kontrollinspektioner av länsarbetsnämnder. Vid några inspek-

tioner framkom att otillåtna uppgifter registrerades och Datainspektionen anmälde en länsarbetsnämnd för brott mot datalagen. I övriga fall anmodades länsarbetsnämnderna att omedelbart ta bort de otillåtna uppgifterna ur registren. Inom den privata sektorn gjordes ett femtontal inspektioner hos inkassoföretag. De vanligaste avvikelserna från god inkassosed gällde dels att inkassoföretaget inte tagit hänsyn till gäldenärernas invändningar i sak, dels att inkassokrav ställts till fel gäldenär. En tredjedel av inspektionerna ledde till att Datainspektionen meddelade straffsanktionerade föreskrifter i dessa avseenden. Vid en inspektion var bristerna så stora vad avsåg omdöme och sakkunskap att inkassotillståndet drogs in.

Verksamhetsåret 1993/94 uppgick antalet genomförda fältinspektioner till 85. Den 1 juli 1994 slogs de två enheterna som handlade ärenden från den offentliga respektive privata sektorn samman till en enhet.

Under verksamhetsåret 1994/95 utfördes sammanlagt 141 egeninitierade inspektioner. Grupper på sex inspektörer granskade i genomsnitt 15 objekt per månad.

Under verksamhetsåret 1995/96, som omfattade 18 månader, genomfördes sammanlagt 249 egeninitierade inspektioner. Omräknat på 12 månaders-basis innebar det en ökning med 18 procent under verksamhetsåret. Huvuddelen av inspektionerna var kontroller av att datalagens bestämmelser och Datainspektionens föreskrifter efterlevdes. Vissa inspektioner var inriktade på områden där det kunde vara aktuellt att införa generella föreskrifter, andra ägnades åt att kontrollera effekten av generella föreskrifter som redan trätt i kraft.

Från mitten av 90-talet synes huvudintrycket från Datainspektionens inspektioner vara att merparten av de registeransvariga känner till innehållet i lagarna och försöker efterleva dem. Närmare 30 procent av inspektionerna under 95/96 avslutades utan anmärkningar. I de fall brister kunde konstateras var de ofta av mindre allvarligt slag.

Mera allvarliga brister framkom främst beträffande ADB-säkerheten, såsom att känslig information kommunicerades i okrypterad form och att det saknades skydd för personuppgifter när service hade utförts av utomstående. Andra allvarliga brister var bristande behörighetskontroll och bristande uppföljning av loggning. De konstaterade bristerna berodde främst på okunnighet om datalagens bestämmelser i kombination med att besked om reglerna och Datainspektionens beslut inte hade nått ut i organisationen. I samtliga fall åtgärdades bristerna efter påpekanden från inspektörerna och inga anmärkningar föranledde anmälan till åklagare. Datainspektionen kontaktade vid flera tillfällen centrala myndigheter och branschorganisationer för att informera om

påträffade brister och för att få hjälp med att i förebyggande syfte sprida information.

Under budgetåret 1997 utfördes sammanlagt 154 egeninitierade inspektioner, 85 inom den offentliga och 69 inom den privata sektorn.

Under åren 1996 och 1997 genomfördes inspektioner i samtliga landets residensstäder. Varje månad genomförde Datainspektionen en tredagarsinspektion i en residensstad. Inspektionens tekniker och jurister besökte då ca 15 myndigheter, offentliga organisationer och privata företag.

Under budgetåret 1998 utfördes sammanlagt 113 inspektioner (11 temainspektioner, 53 andra fältinspektioner och 49 enkätinspektioner). Resultaten av de genomförda temainspektionerna har sammanställts i särskilda rapporter. Närmare 20 procent av inspektionerna avslutades utan anmärkning. De brister som upptäcktes var oftast av mindre allvarlig karaktär och åtgärdades efter påpekande från inspektörerna. Datainspektionen anmälde flera brott till polis- eller åklagarmyndighet. Det rörde i samtliga fall publicering av integritetskränkande uppgifter på Internet.

Under år 1999 genomfördes sammanlagt 167 inspektioner, varav 101 avsåg offentliga och 66 privata tillsynsobjekt. En av temainspektionerna under året avsåg apotekens registrering av kunduppgifter. Inspektionen avslutades med att Datainspektionen uppmanade Apoteket AB att se över sin hantering av personuppgifter så att den överensstämmer med receptregisterlagen (1996:1156). Datainspektionen tillskrev också regeringen och påtalade behovet av en lagändring så att registrering av s.k. dosexpediering blir tillåten.

En annan av 1999 års temainspektioner avsåg skyddade uppgifter i folkbokföringen. I den rapport som har upprättas över resultatet från inspektionerna har Datainspektionen angivit vad den som hanterar spärrmarkerade personuppgifter bör tänka på för att undvika att uppgifterna lämnas ut till obehöriga.

Under år 1999 kom det in 58 anmälningar om förhandskontroll. De flesta avsåg behandling av personuppgifter om genetiska anlag som framkommit efter genetisk undersökning. Sju anmälningar avsåg förhandskontroll enligt polisdataförordningen

Inspektionsverksamheten under år 2000

Vad gäller inspektionsverksamheten under år 2000 noterar Datainspektionen att den var mer omfattande än de två föregående åren. Antalet tillståndsärenden minskade och resurser kunde föras över från tillståndshanteringen till inspektionsverksamheten. Sammanlagt utfördes

183 inspektioner, varav 76 avsåg offentliga och 107 privata tillsynsobjekt. Totalt ökade antalet tillsynsärenden till 521 under år 2000 jämfört med 434 under år 1999.

En av temainspektionerna under år 2000 avsåg överföring av personuppgifter mellan olika huvudmän inom vården och omsorgen av äldre. Inspektionen visade på brister i den information som krävs enligt lagen (1998:544) om vårdregister. IT-säkerheten var dock i allmänhet bra.

En annan av temainspektionerna avsåg behandling av personuppgifter om genetiska anlag, som kommit fram efter genetisk undersökning. Informationen till de registrerade följde i vissa fall inte dataskyddsreglerna. I inspektionsrapporten har Datainspektionen lämnat rekommendationer till ledning för den som behandlar personuppgifter om genetiska anlag.

Datainspektionen utförde under året inspektion av Rikspolisstyrelsens nationella enhet för Schengens informationssystem (SIS) för att få information om den behandling av personuppgifter som är under uppbyggnad med anledning av Schengensamarbetet.

Datainspektionen inspekterade också Tullverket för att kontrollera den behandling av personuppgifter som sker med stöd av lagen (1997:1058) om register i Tullverkets brottsbekämpande verksamhet. Inspektionen visade att Tullverket inte fullt ut hade anpassat behandlingen av personuppgifter till reglerna i lagen. Datainspektionen uppmanade Tullverket att se över sin hantering av personuppgifter så att den överensstämmer med lagstiftningen.

Datainspektionen genomförde under året 41 inspektioner av inkassoverksamhet hos kommuner som driver in sina egna fordringar och hos inkassobolag som i egenskap av ombud driver in fordringar åt andra. En temainspektion under året omfattade samtliga företag som bedriver tillståndspliktig kreditupplysningsverksamhet.

IT-säkerhetsinspektioner utfördes under året av inspektörer med särskild teknisk kompetens. I samtliga fall där brister konstaterades har de personuppgiftsansvariga förklarat hur bristerna kommer att avhjälpas. Datainspektionen utfärdade i december 1999 nya allmänna råd om säkerhet för personuppgifter och kommer att följa upp en del av inspektionsärendena med nya inspektioner, främst där behandlingar av känsliga personuppgifter utförs.

Datainspektionen polisanmälde under året flera brott mot dataskyddslagstiftningen. Det har rörde sig om integritetskränkande uppgifter som publicerats på webbplatser.

Under år 2000 kom det in 77 anmälningar om förhandskontroll Anmälningarna handlades med förtur, eftersom inspektionen inom tre veckor måste meddela om den avser att vidta några åtgärder med

anledning av anmälan eller ej. Kravet på förturshantering och rättsligt komplicerade frågor, gjorde enligt Datainspektionen handläggningen mycket resurskrävande.

Inspektionsverksamheten under år 2001

Datainspektionen har under perioden juli 2000 till och med juni 2001 utfört sammanlagt 136 inspektioner. Av dessa har 66 avsett datalagen, 15 kreditupplysningslagen, 38 inkasoolagen och 17 personuppgiftslagen. Omfattningen av Datainspektionens inspektionsverksamhet beskrivs närmare i bilaga 3.

Under år 2001 har ett stort inspektionsprojekt tillsammans med Finansinspektionen slutförts. Arbetet var fokuserat på registrering av personuppgifter i offentliga register och hur uppgifterna förs vidare till kreditupplysningsföretagen. Datainspektionen studerade hur uppgifter samlas in, registreras, bearbetas och rättas i de offentliga registren och hos kreditupplysningsföretagen. Finansinspektionen studerade hur uppgifterna används av kreditgivarna.

Myndigheterna föreslog i rapporten att en beloppsgräns återinförs i kronofogdemyndigheternas register, för att motverka den kraftiga ökningen av registrerade skulder till staten och den samtidiga ökningen av framställningar om rättelse i kronofogdemyndigheternas register.

Därutöver uppmanades Riksskatteverket och andra myndigheter att omedelbart rätta tekniska fel som orsakar att skulder felaktigt registreras. Tydligare information och rutiner för påminnelser ansågs också behövas för att undvika att registrering av skulder sker av misstag. Upplysningscentralen, UC, har i anledning av inspektionsprojektet skärpt sina rutiner för rättelser. Alla uppgifter som raderas i kronofogdemyndigheternas register tas nu bort även hos UC. Banker och andra kreditinstitut har ansvar för att löpande utvärdera hur antalet kreditförfrågningar om en privatperson påverkar kreditvärdigheten. Av Finansinspektionens allmänna råd 2001:8 framgår numera att enbart den omständigheten att en kund har fått en s.k. betalningsanmärkning inte bör utgöra tillräcklig grund för banken att neka kunden bankkonto med betaltjänster.

4.5. Datainspektionens övriga tillsynsverksamhet

Datainspektionens tillsynsverksamhet bedrivs som framgått inte enbart i form av inspektioner och kontroll av behandlingen av personuppgifter.

Ett viktigt komplement till myndighetens inspektionsverksamhet är arbetet med att informera och ge råd till personuppgiftsansvariga för att förebygga att integritetsskyddet åsidosätts av misstag eller okunnighet. De tillsynsprojekt som inspektionen har genomfört visar att detta arbete är betydelsefullt, såväl inom den offentliga som den enskilda sektorn. Datainspektionen framhåller att genom en uppsökande verksamhet från inspektionens sida kan misstag klaras ut och rutiner anpassas, samtidigt som erfarenheterna från fältet ger inspektionen ett värdefullt underlag för att se över behovet av ytterligare bransch- eller sektorsanpassade föreskrifter.

Sedan personuppgiftslagens tillkomst har enligt Datainspektionen mycket resurser lagts ned på information till personuppgiftsombuden.

En annan del i det förebyggande arbetet för att värna om integritetsskyddet är Datainspektionens roll som remissinstans. Inspektionens möjlighet att lämna synpunkter på utredningsbetänkanden och förslag från regeringen, som rör integritetsfrågor är av central betydelse för att sådana frågor skall beaktas fullt ut.

Datainspektionen har härutöver ett ökande antal internationella åtaganden.

4.5.1. Informationsverksamheten i siffror

Datainspektionens informationsverksamhet bedrivs på många olika sätt. Myndigheten anordnar konferenser, ger föreläsningar, håller presskonferenser, ger ut informationsbroschyrer, svarar på frågor och lämnar information via en egen webb-sida.

Datainspektionens konferensverksamhet under de senaste åren har naturligen främst haft anknytning till den nya personuppgiftslagen. Under år 1999 anordnade Datainspektionen fyra konferenser som handlade om personuppgiftsombud, personuppgiftslagen i praktiken och IT-säkerhet. Två konferenser anordnades under år 2000, också om personuppgiftslagen och personuppgiftsombud. Därutöver var Datainspektionen värd för de europeiska dataskyddschefernas årliga konferens. Fram till och med oktober år 2001 har Datainspektionen anordnat två heldagskonferenser i ämnena ”Vad händer dagen PuL” och ”Integritet i arbetslivet”.

Datainspektionens personal håller föreläsningar på såväl egna som andras konferenser och även i andra sammanhang. Antalet föreläsningar uppgick år 1999 till 137 stycken och år 2000 till 149 stycken. Under år 2001 kommer Datainspektionen att hålla ca 165 föreläsningar. Till denna verksamhet åtgår ca två årsarbetskrafter.

Som ett komplement till konferensverksamheten håller Datainspektionen sedan år 2000 särskilda seminarier för personuppgiftsombud. Under år 2000 hölls fyra sådana seminarier för bl.a. kommuner. Innan år 2001 gått till ända kommer Datainspektionen att ha hållit sju särskilda seminarier för personuppgiftsombud.

En viktig del av Datainspektionens informationsverksamhet är myndighetens call-center. Funktionen inrättades för att koncentrera telefonfrågorna till två erfarna handläggare och på så sätt effektivisera verksamheten. Datainspektionens erfarenhet är att tidsåtgången för allmänna frågor härigenom har minskat. Inspektionens call-center får årligen ca 15 000 samtal. En del telefonfrågor leder till att det skapas regelrätta ärenden.

Datainspektionen har en egen webb-sida där aktuell information ständigt förmedlas. Inspektionen lägger på webb-sidan bl.a. ut samtliga de skrifter som myndigheten producerar. Allteftersom praxis utvecklas är det myndighetens ambition att förmedla fler frågor och svar via hemsidan.

Myndigheten producerar alla sina skrifter själv, såsom årsredovisningar, informationsbroschyrer och allmänna råd m.m. Inspektionen ger också ut en egen tidskrift, magazin Direkt.

I informationsverksamheten ingår vidare att anordna presskonferenser, ge ut pressmeddelanden och samla in pressklipp. Datainspektionen har under år 2001, till och med oktober, anordnat två presskonferenser och sänt ut sex pressmeddelanden.

4.5.2. Remisser i siffror och internationellt arbete

Datainspektionen används som remissinstans av såväl regeringen som andra myndigheter när det gäller förslag som rör integritetsfrågor. Därutöver tillkommer att stort antal delningar från regeringen beträffande sådana förslag.

Under år 1999 svarade Datainspektionen på sammanlagt 71 remisser och under år 2000 var antalet 96. Fram till och med den 15 oktober 2001 har Datainspektionen svarat på sammanlagt 56 remisser. Av dessa kom 36 från departement och 20 från andra myndigheter. I den senare siffran ingår framställningar om yttranden från polis, åklagare och

domstol samt diverse enkäter. Antalet s.k. delningar under samma period var ca 50 stycken.

Datainspektionen har härutöver bl.a. utarbetat egna föreskrifter och allmänna råd, samt under år 1999 yttrat sig över två branschöverenskommelser avseende behandling av personuppgifter.

Datainspektionen deltar också med experter i regeringskansliets kommittéväsende.

Datainspektionens internationella åtaganden har ökat under de senaste åren. Det internationella arbetet sker bl.a. i de gemensamma tillsynsmyndigheterna inom ramen för det internationella polis- och tullsamarbetet och i den s.k. 29-gruppen som skall finnas enligt dataskyddsdirektivet. Därutöver äger också i andra sammanhang kontakter rum med utländska dataskyddsmyndigheter. För att beskriva omfattningen och ökningen av det internationella arbetet kan som jämförelse nämnas att under år 1999 kostade verksamheten 3 376 000 kr och motsvarade 8 procent av total arbetad tid. Under år 2000 uppgick den internationella verksamheten till 12 procent av totalt arbetad tid och kostade myndigheten 6 165 000 kr. Myndighetens internationella verksamhet under de tre första kvartalen år 2001 kostade 4 475 807 kr och motsvarade sammanlagt 8,5 procent av totalt arbetad tid.

4.6. Tillsynsverksamheten inom EU

Enligt direktiven skall utredningen informera sig om hur tillsynen enligt dataskyddsdirektivet är organiserad och bedrivs i övriga Europa. Utredningen har i anledning härav utformat en enkät som ställts till Datainspektionens motsvarigheter i samtliga EU-länder samt Norge och Island.

I enkäten ställs vissa allmänna frågor om inriktningen och omfattningen av myndigheternas tillsyn enligt dataskyddsdirektivet och inom det internationella polis- och tullsamarbetet. Enkäten i sin helhet är intagen i betänkandet som bilaga 2.

Utredningen har inte fått svar från samtliga de länder som enkäten ställts till och de svar som erhållits skiljer sig åt i omfattning och innehåll. Mot bakgrund härav kan det endast ges en översiktlig bild av hur verksamheten bedrivs i de olika länderna. Den mest informativa beskrivningen av sin verksamhet har dataskyddsmyndigheten i Nederländerna lämnat. En närmare beskrivning av dess verksamhet finns i kapitel 10.5.

De övriga länder som svarat på enkäten är Danmark, Finland, Irland, Island, Norge, Portugal, Spanien och Tyskland.

4.6.1. Danmark

Dataskyddsmyndigheten i Danmark, Datatilsynet, består av ett råd och ett sekretariat som utövar tillsyn över de behandlingar som omfattas av persondataloven, vilken lag genomför dataskyddsdirektivet i dansk rätt. Rådet beslutar i ärenden av principiell karaktär och av betydande allmänt intresse. Den dagliga verksamheten sköts av sekretariatet som består av ca 30 medarbetare och som leds av en direktör.

Datatilsynet har befogenheter i enlighet med dataskyddsdirektivet. Myndigheten kan på eget initiativ eller efter klagomål inspektera om behandling av personuppgifter sker lagenligt, och bl.a. tvinga personuppgiftsansvariga att upphöra med behandling som inte sker i överensstämmelse med lagen.

Redan i samband med godkännandet av de anmälningar om behandling av personuppgifter som lämnas in till myndigheten företas en första kontroll av behandlingens lagenlighet. Som svar på anmälningarna lämnar Datatilsynet ett tillstånd, om anmälan avser privat verksamhet, och ett utlåtande om anmälan kommer från den offentliga sektorn. Datatilsynet kan också avvisa en anmälan t.ex. om den aktuella behandlingen av personuppgifter inte är förenlig med lagen.

Myndigheten behandlar ca 200–250 klagomål från allmänheten per år.

Datatilsynet genomför varje år ca 50–75 inspektioner av såväl offentlig som privat verksamhet. Inspektionsobjekten väljs ut bl.a. med hjälp av Datatilsynets förteckning över anmälningar. Inspektionerna utförs av två till tre jurister, ibland i sällskap med myndighetens ITmedarbetare.

Datatilsynet är nationell tillsynsmyndighet enligt Europol- och Schengenkonventionerna.

4.6.2. Finland

Dataskyddsdirektivet har införts i finsk rätt genom personuppgiftslagen som trädde i kraft den 1 juni 1999.

I Finland sköts tillsynsmyndighetens uppgifter av Dataombudsmannen och Dataombudsmannens byrå som bistår med handledning och rådgivning i frågor kring användningen av personuppgifter och som övervakar att lagstiftningen följs.

Datombudsmannens byrå är en självständig myndighet. Byrån leds av en dataombudsman som utses av justitieministern för fem år åt gången. Byråpersonalen uppgår till sammanlagt 18 personer.

Dataombudsmannens främsta uppgift är att i förebyggande syfte verka för att registerföringen sker lagenligt. Byrån producerar material för handledning och information om personuppgiftslagen både för registeransvariga och registrerade. Dessutom föreläser experterna vid byrån vid kurser och seminarier arrangerade såväl av byrån som olika organisationer. En stor del av verksamheten utgörs av telefonrådgivning. Handledning och rådgivning i anslutning till olika ITprojekt är ett viktigt verksamhetsområde som växer hela tiden.

Dataombudsmannen ger vid behov råd och handledning vid utformningen av branschspecifika etikregler för registerföring.

Utöver allmän rådgivning ger Dataombudsmannen på begäran handledning och råd till registeransvariga och registrerade samt fattar beslut om lagligheten av registerföring och hur registrerades rättigheter skall realiseras.

Dataombudsmannen skall höras vid beredningen av lagstiftnings- och förvaltningsreformer som rör behandling av personuppgifter. I praktiken sker detta genom att Dataombudsmannen avger utlåtanden och medverkar i arbetsgrupper som tillsatts för att bereda och övervaka lagstiftningsarbetet. Åklagare skall höra Dataombudsmannen innan åtal väcks om förfaranden i strid med personuppgiftslagen. Likaså skall domstol som handlägger ett sådant ärende bereda Dataombudsmannen möjlighet att yttra sig.

Dataombudsmannens byrå ger ut en tidskrift som vänder sig i första hand till registeransvariga. Byrån publicerar också informationsbroschyrer och har en egen webb-sida med senaste nytt om dataskydd.

Dataombudsmannen är nationell tillsynsmyndighet enligt Europol- och Schengenkonventionerna.

4.6.3. Irland

I Irland utförs tillsynsmyndighetens uppgifter av The Data Protection Commissioner. På grund av resursbrist har ännu inte några inspektioner av behandling av personuppgifter genomförts. Avsikten är att sådan verksamhet skall komma igång inom en snar framtid, eftersom detta anses viktigt enligt dataskyddsdirektivet.

4.6.4. Island

Persónuvernd är den myndighet som i Island har till uppgift att se till att dataskyddsreglerna följs. Persónuvernd har emellertid bara varit i funktion sedan den 1 januari 2001.

Persónuvernd inspekterar behandling av personuppgifter på eget initiativ eller på grund av klagomål som kommer in till myndigheten. Myndigheten har härvid i princip samma befogenheter som den svenska Datainspektionen.

I Island åligger det varje personuppgiftsansvarig att utforma ett eget säkerhetssystem för att förvissa sig om att personuppgifter behandlas på ett korrekt sätt. Härvid skall den personuppgiftsansvarige ha en skriven säkerhetspolicy, göra en riskanalys och bestämma lämpliga skyddsåtgärder med hänsyn till den typ av personuppgifter som behandlas.

Persónuvernd grundar sina inspektioner på det nämnda skrivna material som varje personuppgiftsansvarig måste utarbeta. Med hänsyn till den korta tid som myndigheten ännu arbetat är det svårt att säga något om omfattningen av inspektionsverksamheten.

4.6.5. Nederländerna

Dataskyddsmyndigheten i Nederländerna har i sin verksamhet lagt stor vikt vid att i samarbete med företag och andra organisationer utarbeta branschöverenskommelser och annan form av självreglering. De viktigaste erfarenheterna av tillsynsverksamheten i Nederländerna redovisas därför i kapitel 11 som handlar om självreglering.

4.6.6. Norge

I Norge trädde den nya loven om behandling av personupplysninger (PoL) i kraft den 1 januari 2001. Lagen bygger på dataskyddsdirektivet.

Tillsynsmyndighet enligt PoL är Datatilsynet. Eftersom PoL bygger på kontroll i efterhand, är huvudinriktningen för Datatilsynets verksamhet att tillsynen skall öka kraftigt. Datatilsynet har mot bakgrund härav gjort vissa organisatoriska förändringar som bl.a. inneburit att myndigheten skapat en ny tillsyns- och säkerhetsenhet.

Datatilsynet har som huvuduppgift att kontrollera att lagar och förordningar som gäller behandling av personuppgifter efterlevs. Därutöver skall myndigheten bl.a. informera alla om vilka rättigheter och skyldigheter som följer med PoL och bidra till att lagens innehåll

blir känt och förstått, så att det därigenom är möjligt att efterleva lagens krav. Myndigheten skall också hålla sig orienterad om utvecklingen vad gäller behandling av personuppgifter, uppmärksamma hot mot den personliga integriteten och ge råd om hur hoten skall undvikas eller begränsas och vägleda i frågor som rör den personliga integriteten.

Datatilsynet hanterar vidare frågor om tillstånd till behandling av personuppgifter och för en förteckning över anmälningar om behandlingar av personuppgifter.

Datatilsynets verksamhet har genomgått stora förändringar under år 2001 som en följd av den nya lagstiftningen. Nya mål för verksamheten har satts upp och kontrollmetoder och arbetsbeskrivningar för myndighetens alla sektioner har utarbetats. Plan för hur målen skall nås och hur verksamheten skall utvärderas har lagts fast. Vilka uppgifter de olika enheterna särskilt skall prioritera har också bestämts.

4.6.7. Portugal

I Portugal utförs tillsynsmyndighetens uppgifter av Comissâo Nacional de Proteccâo de Dados (CNPD).

CNPD utför inspektioner av behandlingen av personuppgifter utifrån klagomål eller på eget initiativ. Regelbundet utförs inspektioner för att kontrollera att behandlingar sker i enlighet med de uppgifter som lämnats till myndigheten i anmälningar. Inspektioner sker också inom specifika sektorer i samhället.

Inspektionerna utförs i första hand av personal med särskilda kunskaper i informationsteknik. CNPD har i princip samma befogenheter som den svenska Datainspektionen och utför inspektioner hos alla typer av organisationer såväl privata som offentliga.

CNPD är nationell tillsynsmyndighet enligt Europol-, Schengen- och TIS-konventionerna och deltar i de olika internationella samarbetsorganen enligt konventionerna.

4.6.8. Spanien

I Spanien har man sedan år 1992 haft en dataskyddslagstiftning som i stort uppfyller de krav som ställs upp i dataskyddsdirektivet. Direktivet infördes fullt ut i spansk lagstiftning genom en ny lag som trädde i kraft den 14 januari 2001. Den nya lagen innebar inga större förändringar i tillsynsmyndighetens, Agencia de Protección de Datos (APD), uppgifter och befogenheter.

APD är tillsynsmyndighet med ansvar för behandlingen av personuppgifter inom såväl privat som offentlig verksamhet, och enligt konventionerna inom det internationella polis- och tullsamarbetet.

APD har som tillsynsmyndighet de befogenheter som framgår av dataskyddsdirektivet. Inspektioner sker med anledning av klagomål eller på myndighetens eget initiativ. Särskilda inspektioner äger rum för att undersöka förhållandena inom speciella sektorer av samhället. Denna form av inspektion är den mest omfattande som myndigheten utför.

Varje inspektion föregås av en noggrann planering, och genomförs enligt detaljerade manualer. Resultatet av en inspektion sammanfattas i en rapport som överlämnas till chefen för APD. Den personal som utför inspektionen fattar aldrig några beslut vad avser frågan om behandlingen av personuppgifter sker korrekt och i enlighet med gällande rätt. Ifrågavarande personal samlar endast in information. Därefter fattas beslut om eventuella ingripanden på det underlag som tagits fram.

4.6.9. Tyskland

På grund av konstitutionella orsaker är ansvaret för dataskydd i Tyskland uppdelat mellan federationen och de olika delstaterna. Den federala dataskyddsmyndigheten, Der Bundesbeauftragte für den Datenschutz, utövar tillsyn över federala organ, telekommunikation och postservice. Ansvaret för tillsyn över lokala myndigheter och privata organisationer ligger på delstatsnivå.

Den federala tillsynsmyndigheten är ansvarig för uppgifterna enligt konventionerna inom det internationella polis- och tullsamarbetsområdet.

Dataskyddsdirektivet är ännu inte infört i tysk rätt. När det gäller tillsynsmyndighetens uppgifter och befogenheter gäller emellertid i huvudsak motsvarande regler redan.

Den federala tillsynsmyndigheten är utformad som en dataombudsman som väljs på fem år av Förbundsdagen. Myndigheten utför ca 40 inspektioner per år. I övrigt ägnas en stor del av myndighetens resurser åt information och rådgivning samt handläggning av klagomål.

I Tyskland måste varje företag som har minst fem personer anställda och som använder datorer för att behandla personuppgifter utse en särskild dataskyddsexpert.

Dataskyddslagstiftningen i Tyskland är utformad som en ramlag kompletterad med lagstiftning för vissa särskilda branscher, t.ex. media och telekommunikation.

I syfte att ytterligare stärka dataskyddet i landet skapades år 1991 ett särskilt federalt IT-säkerhetsorgan. Detta har bl.a. till uppgift att vara rådgivande till dataombudsmannen i tekniska frågor. Dessutom inspekterar organet/myndigheten säkerheten i de informationssystem som presenteras på marknaden och kan utfärda certifikat för marknadsföringsändamål.

5. Datainspektionens finansiering

5.1. Principer för fördelning mellan skattefinansierad verksamhet och avgiftsfinansierad verksamhet

Frågan om avgiftsfinansiering av statlig tillsynsverksamhet har bl.a. behandlats av kemikalieutredningen i betänkandet (SOU 2001:4) Kemikalieinspektionen Översyn av verksamhet, resurser och finansiering. I bilaga 3 till betänkandet har Ekonomistyrningsverket (ESV) lämnat en underlagsrapport som behandlar regler och riktlinjer för avgiftsbelagd verksamhet, gränsdragningen mellan skatt och avgift, avgiftskonstruktioner, tillsynsverksamheters avgiftskonstruktion samt analys av finansieringen av Kemikalieinspektionens verksamhet.1

ESV har vidare i rapporten Att styra avgiftsbelagd verksamhet (ESV 2000:21) redogjort för vilka överväganden som bör göras i samband med avgiftsbeläggning av statlig verksamhet.

5.1.1. Skatt eller avgift

Offentliga inkomster består huvudsakligen av skatter och avgifter. Det går inte att dra någon definitiv gräns mellan begreppen skatt och avgift. Redan i förarbetena till regeringsformen framhöll man att gränsen mellan skatter och avgifter är flytande. Således innehåller regeringsformen inte någon definition av varken begreppet skatt eller avgift.

I förarbetena uttalas emellertid att skillnaden mellan skatt och avgift är att en skatt kan karaktäriseras som ett tvångsbidrag till det allmänna utan direkt motprestation, medan det med avgift vanligen förstås en penningprestation som betalas för en specificerad motprestation från det allmänna.2 Det är också denna definition som allmänt används för

1SOU 2001:4 s. 314 ff. 2Prop. 1973:90 s. 213.

att skilja begreppen åt. För att avgöra vad som kan anses vara skatt eller avgift måste således en bedömning göras i varje enskilt fall.

5.1.2. Vem beslutar om skatter och avgifter?

Den praktiska betydelsen av gränsdragningen mellan skatt och avgift inskränker sig till de situationer då riksdagen överväger att delegera beslutskompetensen till regeringen. Det är riksdagen som fattar beslut om skatter. Riksdagen får enligt kapitel 8 i regeringsformen inte delegera beslut om skatter. Beslut om offentligrättsliga avgifter kan däremot delegeras till regeringen eller en myndighet.

Att besluta om att införa avgift för prestationer som efterfrågas frivilligt (uppdragsverksamhet) hör däremot till regeringens kompetensområde. Regeringen kan också bestämma att en statlig myndighet skall ta ut ersättning av andra statliga myndigheter för en viss prestation oavsett om efterfrågan är frivillig eller tvingande.

En statlig myndighet har bara rätt att ta ut avgifter om det finns ett bemyndigande från regeringen. Om det rör sig om offentligrättsliga, s.k. tvingande avgifter skall riksdagen dessförinnan ha beslutat att verksamheten skall bedrivas och att den skall vara avgiftsbelagd.

En avgift betraktas som offentligrättslig om den innebär ett ingrepp i enskildas ekonomiska förhållanden. Avgörande för om verksamheten skall betecknas som offentligrättslig avgiftsbelagd verksamhet eller som uppdragsverksamhet är om myndigheten har ett formellt monopol eller ej på att bedriva verksamheten. Man kan säga att en offentligrättslig avgift i regel tas ut för en verksamhet som en myndighet bedriver med ensamrätt inom landet. Den enskilde skall vara rättsligt eller faktiskt tvingad att betala avgiften.3

Om det råder tveksamhet om det är fråga om en offentligrättslig avgift eller en frivillig avgift kan regeringen föreslå att riksdagen beslutar om att avgiftsbelägga verksamheten.

5.1.3. Avgift för tillsynsverksamhet

Vid tillsynsverksamhet finns inte alltid ett direkt samband mellan avgiften och den prestation som staten svarar för. Ofta finns däremot ett samband mellan den statliga verksamheten och den grupp företag som genom avgifter finansierar verksamheten. Kollektivet svarar för sambandet, inte de enskilda företagen. När verksamheten riktar sig till

3Prop. 1973:90 s. 218.

ett litet antal lätt identifierbara tillsynsobjekt finns ett klart samband mellan avgift och prestation. Vid stigande antal tillsynsobjekt blir sambandet svagare för att i vissa fall upplösas.

Tillsynsavgifter betraktas enligt ESV vanligen som avgifter och har ofta karaktären av ”kollektiva avgifter”, men steget till punktskatt är inte långt. För att avgöra vad som kan anses vara skatt eller avgift måste en bedömning göras i varje enskilt fall. Vägledning finns i förarbetena till regeringsformen och i praxis.

I fråga om kollektiva motprestationer, dvs. avgift för tillsyn av en viss näringsgren eller en viss verksamhet där det inte utgår någon direkt motprestation, råder i doktrinen en allmän enighet om att som förutsättningar för tillåten normgivning gäller att avnämarkollektivet kan avgränsas och identifieras helt klart och att ingen i kollektivet kan dra sig undan avgiften. Vid tveksamhet härom kan det ifrågasättas om t.ex. en tillsyn i näringsgren i princip kan ses som en verksamhet i de kontrollerades intresse, eller om tillsynen snarare tillgodoser ett allmänt intresse.4

Om inga identifierbara kunder eller ett definierat avgiftskollektiv finns kan verksamheten inte avgiftsbeläggas. Vid avgiftsbeläggning av tillsyn kan hävdas att det inte är de enskilda betalarna utan det allmänna som erhåller motprestationen i form av t.ex. säkrare banksystem eller renare miljö. Verksamheten riktar sig mot kollektivet av medborgare, inte mot enskilda individer eller företag.

För att vara säker på att avgiften verkligen är en avgift måste, enligt ESV:s bedömning, motprestationen riktas direkt mot den betalande genom t.ex. prövning eller faktisk tillsyn.

Sannolikt uppfylls avgiftskriteriet också om avgiftskollektivet kan definieras väl och ett rimligt samband föreligger mellan den prestation som myndigheten utför och summan av de avgifter som avgiftskollektivet erlägger.

ESV konstaterar att lagreglerade avgiftsuttag teoretiskt kan vara konstruerade på många olika sätt utan att avgiftsuttaget strider mot lag eller grundlag. Däremot kan avgiftsuttaget vara mindre lämpligt även om det till nöds uppfyller de formella kraven. Erfarenhetsmässigt bör därför avgiftssystemet konstrueras så att tydligt samband erhålls mellan avgift och motprestation. I annat fall ökar risken för att avgiftssystemet ifrågasätts från såväl avgiftskollektivet som rättsvårdande instanser.

4 Leidhammar, Skattenytt 2001 s. 110, se t.ex. Westerberg, Förvaltningsrättslig tidskrift 1982 s. 13.

5.1.4. För och emot avgiftsfinansiering

ESV har listat följande argument för och emot avgiftsfinansiering av statlig verksamhet.

Argument för avgiftsfinansiering

N Det är rimligt att den som utnyttjar en verksamhet också betalar för

den. N En avgift kan öka kostnadsmedvetandet hos både producent och

avnämare samt höja produktiviteten. N En avgift kan ge en statsfinansiell effekt. N Ett kund-leverantörsförhållande upprättas. N Man kan minska efterfrågan på en vara eller tjänst. N Det finns en överkapacitet i myndigheten som tillfälligt kan

utnyttjas till att bedriva avgiftsfinansierad verksamhet. N Kraven på myndighetens interna uppföljningssystem och redovis-

ning ökar mot bakgrund av att dels underlag behövs för avgiftssättningen, dels att avgiftsbelagd verksamhet skall särredovisas i årsredovisningen.

Argument mot avgiftsfinansiering

N Avgiftsbeläggning kan leda till oacceptabla fördelningspolitiska

effekter. N Det finns risk för en oönskad minskning av efterfrågan. N Avgiftsbeläggningen kan innebära att syftet med myndighetens

verksamhet inte uppnås, eftersom det ligger i samhällets intresse att så många som möjligt får del av tjänsten. N De administrativa kostnaderna för att ta ut avgiften kan bli så höga

att det inte lönar sig att ta ut någon avgift.

5.1.5. Vilka kostnader skall ingå i avgiften?

Regeringen har bestämt att full kostnadstäckning normalt skall gälla som ekonomiskt mål för avgiftsbelagd verksamhet (5 § avgiftsförordningen). För att få full kostnadstäckning i verksamheten skall myndigheten beräkna avgifterna så att intäkterna täcker samtliga kostnader - både de direkta kostnader som verksamheten orsakar och en rättvisande andel av de gemensamma kostnader som verksamheten indirekt för med sig.

Det finns ett generellt bemyndigande i 4 § avgiftsförordningen som innebär att myndigheten själv får besluta om att ta ut avgift för sådana varor och tjänster som räknas upp i paragrafen. Det rör sig här om publikationer, konferenser, kurser, uthyrning av lokaler och utrustning, offentlig inköps- och resurssamordning, uppgifter som lämnas ut på annat lagringsmedium än papper, tjänsteexport m.m. Verksamheten skall vara av mindre omfattning eller av tillfällig natur.

När det gäller avgifter som tas ut enligt 4 § avgiftsförordningen får myndigheten normalt själv bestämma om avgiften skall täcka hela kostnaden eller kanske bara särkostnaden.

ESV:s slutsatser om hur olika statliga tillsynsverksamheter finansieras med avgifter visar att avgiftskonstruktionerna varierar mycket. Den praxis som gäller, i form av befintliga avgiftskonstruktioner, kan alltså ge utrymme för många olika konstruktioner. Omkring hälften av myndigheterna har tillsynsavgifter som är beroende av tillsynsobjektens storlek eller storleken på den verksamheten som står under tillsyn.

Att kostnader som är direkt förenade med den avgiftsbelagda verksamheten skall tas med i kostnadsunderlaget för att beräkna avgiftsnivån betraktas som givet. Vilka indirekta kostnader som skall avgiftsfinansieras är däremot inte alltid självklart. Exempel på gemensamma kostnader som i regel skall belasta både den anslagsfinansierade och den avgiftsfinansierade verksamheten är: ledning, administrativt stöd, bibliotek, lokaler, IT-tjänster, avskrivningar, räntor samt personalvård. Avgifter inom ett specifikt avgiftsområde skall beräknas så att de täcker en rättvisande andel av dessa kostnader.

Kostnader som i vissa fall bör täckas av den avgiftsbelagda verksamheten är exempelvis en andel av myndighetens kostnader för allmän metodutveckling, forskning, historiskt utvecklingsarbete, EUarbete och arbete med föreskrifter och allmänna råd.

Vägledning för om kostnaderna skall ingå är hur stark kopplingen är till den motprestation som erhålls. Av betydelse är även bemyndigandet som ger myndigheten rätt att ta ut avgifter. Formuleringen att myndigheten skall finansiera prövning och tillsyn med avgifter är exempelvis en snävare avgränsning av kostnadsmassan än om myndigheten skall finansiera verksamheten med avgifter.

När det gäller sådana kostnader som sällan skall tas med vid beräkningen av avgifterna anger ESV kostnader för överklaganden, remisser samt rådgivning och information som följer av den avgiftsfria serviceskyldighet som gäller enligt förvaltningslagen (1986:223).

5.1.6. Avgiftsbelagd verksamhet i konkurrens

Det förekommer sällan att en myndighets hela verksamhet är konkurrensutsatt. Däremot kan ofta större eller mindre delar av vissa myndigheter med anslags- eller avgiftsfinansierad verksamhet vara konkurrensutsatt i den meningen att andra producenter tillhandahåller motsvarigheter till vissa varor och tjänster som produceras.

Statsmakterna har som huvudprincip uttalat att staten inte skall bedriva verksamhet på en marknad med fungerande konkurrens. Från denna princip finns flera undantag. N Myndighetens basverksamhet ger upphov till biprodukter, t.ex.

utbildnings- och konsultuppdrag, som efterfrågas på grund av myndighetens särskilda kompetens. T.ex. Patent- och registreringsverket. N Myndigheten behöver för att upprätthålla en tillräcklig allmän

kompetens inom sitt område utföra vissa tjänster som även bjuds ut på en marknad. T.ex. Livsmedelsverkets behov av uppdrag för att tillföra forskningen erfarenheter. N En viss verksamhet anses så angelägen för samhället att det inte är

lämpligt att dess existens är beroende av att en marknad är villig att tillgodose tjänsten i tillräcklig omfattning. T.ex. Lantmäteriverket. N En verksamhet är bara i begränsad utsträckning intressant för en

marknad och det är därför ett statligt ansvar att se till att tjänsten finns tillgänglig, t.ex. i glesbygdsområden eller för medborgare utan ekonomiska resurser. Frågor som ur konkurrensperspektivet kan ställas är t.ex. om det är lämpligt av resursskäl att staten bedriver en viss verksamhet eller vilka synpunkter konkurrerande aktörer har på att statlig konkurrens överhuvudtaget förekommer.

Generellt gäller att risken för konkurrensproblem står i proportion till i vilken grad producerade tjänster sammanfaller med motsvarande kommersiellt producerade tjänster.

5.1.7. Inomstatlig avgiftsbelagd verksamhet (beställar/utförarmodellen)

Med B/U-modellen avser ESV en modell för internprissättning inom staten. Modellen är ett alternativ till anslagsfinansiering av sådana myndigheter, eller verksamhetsgrenar inom myndigheter, där de tjänster som produceras har andra myndigheter som avnämare.

Modellen innebär i princip att de tjänster som produceras hos en myndighet avgiftsbeläggs och anslagsmedel i stället tillförs den/dem

som köper och använder tjänsten. Finansieringen av den utförande myndighetens verksamhet blir helt eller delvis beroende av avgiftsintäkter.

Modellen har som syfte att åstadkomma större effektivitet och kostnadsmedvetenhet inom statlig verksamhet. Avsikten är att i någon mån efterlikna marknadsmässiga förutsättningar.

Genom att efterfrågan styrs av beställaren finns förutsättningar för en bättre efterfrågeanpassning av verksamhetsvolymen hos utföraren. Den myndighet som utför en tjänst tvingas att göra detta till ett pris och med ett innehåll och en kvalitet som leder till tillräckligt stor efterfrågan för att finansiera verksamheten.

En allmän förutsättning för att modellens önskade effekter skall kunna uppkomma brukar anses vara att båda myndigheterna, framför allt den beställande, har valfrihet i sitt agerande.

De positiva effekter modellen har kan bl.a. motverkas av sådana faktorer som att utföraren har monopolställning, beställaren har en reglerad skyldighet att beställa tjänsten eller att tjänstens innehåll och sättet att utföra den är till stor del reglerad och given.

Detta hindrar dock inte att modellen kan ha vissa positiva effekter även under nämnda förhållanden. Den nya formen för finansiering och de förändrade rollerna för myndigheterna kan i många fall bidra till ett nytt sätt att se på kostnaderna. Dessutom tydliggör en avgift kostnaderna för en verksamhet, eller för enskilda tjänster. Detta informationsvärde hos en avgift kan bidra till ett allmänt ökat kostnadsmedvetande oberoende av övriga förutsättningar.

I en situation med begränsad valfrihet måste det emellertid ställas särskilt höga krav på att kunna visa att förväntade effekter har ett värde som överstiger kostnaderna för genomförande och administration.

5.1.8. Olika avgiftskonstruktioner

De vanligast förekommande avgiftskonstruktionerna är saktaxa och tidtaxa. Avgiften kan också utformas som tvådelade tariffer som består av en fast och en rörlig avgift eller baseras på t.ex. omsättning, volym eller balansomslutning.

Saktaxa

Saktaxa är en fast avgift som regeringen eller myndigheten bestämmer i förväg. Den är enkel och överskådlig för den avgiftsskyldige och kan användas om kostnaderna för prestationen inte varierar för mycket.

Exempel på saktaxa är avgift för ansökan om pass eller ansökan om tillstånd att inneha skjutvapen.

Fördelar med saktaxa är att den som köper en tjänst eller vara i förväg har vetskap om vad det kostar, den är lätt att administrera och följa upp och det upplevs som rättvist att alla får betala lika mycket.

Nackdelar med saktaxa kan vara att sambandet mellan avgift och nedlagda kostnader blir för svagt därför att det är stora skillnader mellan de kostnader som en viss användare förorsakar och vad denne får betala.

Tidtaxa

Tidtaxa är en avgift som direkt motsvarar den tid som krävs för att fullgöra uppdraget. Avgiften baseras normalt på direkta lönekostnader med pålägg för att täcka en del av de kostnader som är indirekt förenade med verksamheten samt eventuella övriga kostnader.

En tidtaxa används vid debitering enligt s.k. löpande räkning eller ligger till grund för ett fast pris. Genom användningen av fast pris har köparen, precis som vid saktaxa, i förväg vetskap om hur mycket han eller hon behöver betala.

Fördelen med löpande räkning är främst att köparen får ersätta de kostnader som just hans eller hennes uppdrag har orsakat.

Nackdelar med löpande räkning är att debiteringssättet inte ger incitament till kostnadseffektivitet, att det är svårt för köparen att i förväg uppskatta kostnaderna och att risken för att köparen ifrågasätter avgiftens storlek ökar när tidsåtgång redovisas, varför det kan uppfattas som svårt att ta betalt för faktiskt nedlagt arbete. Det kan också vara svårt att få betalt av små eller betalningssvaga köpare med resurskrävande ärenden.

5.1.9. Redovisning av avgiftsbelagd verksamhet

Enligt avgiftsförordningen skall myndigheterna varje år samråda med ESV om de avgifter som myndigheten tar ut. Samråd skall ske även om avgifterna avses vara oförändrade. I de fall regeringen bestämmer avgiftens storlek skall samråd ske med ESV innan förslag lämnas till regeringen om avgiften. Myndigheterna skall på ESV:s begäran lämna uppgifter om de varor och tjänster som myndigheten tar ut avgifter för. Uppgifterna utgör underlag för bl.a. rapportering till regeringen. Av ESV:s föreskrifter och allmänna råd till avgiftsförordningen framgår hur samrådsunderlaget bör vara utformat. Syftet med samråds-

funktionen är i första hand att kontrollera att avgifterna är beräknande utifrån det ekonomiska mål som gäller för verksamheten, att se till att regler och riktlinjer på avgiftsområdet följs och att enhetliga och vedertagna principer för prissättning tillämpas.

En avgiftsbelagd verksamhet kan antingen redovisas i statsbudgeten eller utanför statsbudgeten. Bruttoredovisning innebär att avgiftsinkomster tillförs statskassan och redovisas under en inkomsttitel. Myndigheten får då anslagsmedel för verksamheten enligt samma regler som gäller för skattefinansierad verksamhet. Avgifter som redovisas utanför statsbudgeten disponeras av myndigheten. Intäkter och kostnader för den avgiftsbelagda verksamheten redovisas i myndighetens resultaträkning. Bruttoredovisning tillämpas i normalfallet för offentligrättsliga avgifter. Undantag härifrån kan t.ex. göras i de fall verksamhetsvolymen är så svår att bedöma på förhand att finansiering över anslag framstår som mindre ändamålsenligt. För annan avgiftsfinansierad verksamhet som är efterfrågestyrd tillämpas nettoredovisning om inte särskilda skäl talar för annat.

För att en myndighet skall få disponera inkomsterna i den avgiftsbelagda verksamheten krävs att statsmakterna har medgivit detta. Offentligrättsliga avgifter bör i regel inte disponeras av myndigheten utan tillföras statskassan och redovisas mot en inkomsttitel. Avgifter som tas ut för frivilligt efterfrågade varor och tjänster disponeras normalt av myndigheten. Rätten att disponera avgiftsinkomsterna framgår i regel av myndighetens regleringsbrev.

5.1.10. Förhållandet mellan avgift och skatt med avseende på finansiering av Datainspektionens verksamhet

Gränsdragningen mellan skatt och avgift är flytande. Avgörande för om en pålaga skall anses vara en avgift och inte en skatt är om det utgår en direkt motprestation. Vissa av en myndighets varor/tjänster/åtgärder har en tydligare motprestation/nytta för mottagaren än andra. Det ligger därför närmare till hands att beteckna pålagan för dessa som avgift. Men definitionen är också beroende av i vilken utsträckning man kan identifiera mottagaren. Nyttan är mer framträdande ju tydligare man kan identifiera mottagaren.

Med utgångspunkt från vilka tjänster Datainspektionen eventuellt skulle kunna ta betalt för kan man schematiskt beskriva förhållandet på följande sätt.

Tjänst/Åtgärd Finansieringsform Mottagare

AVGIFT

Rådgivning Enskilt företag/ Information myndighet

Granskning av branschöverenskommelser

Tillstånd Bransch

Anmälan

Tillsyn

Remisser Regelgivning Alla/Samhället

SKATT

5.2. Datainspektionens resursbehov och finansiering

5.2.1. Tidigare avgiftsfinansiering av Datainspektionens verksamhet

Avgifter har tagits ut i Datainspektionens verksamhet redan från starten år 1973. Något ekonomiskt mål för verksamheten hade emellertid inte formulerats då. Detta skedde först år 1979 då det i regeringens budgetproposition uttalades att avgifterna borde bestämmas så att de täckte kostnaderna för Datainspektionens verksamhet.5 Riksdagen biträdde regeringens uppfattning.6 En ny finansieringsmetod kom emellertid av olika skäl inte att träda i tillämpning förrän i samband med ändringarna i datalagen den 1 juli 1982. Den innebar att Datainspektionen dels debiterade sökande i tillståndsärenden en avgift för handläggningen och dels tog ut en årlig licensavgift av alla registeransvariga.

5 Prop. 1978/7:100 s. 22. 6 KU 1978/79:22, rskr. 185.

Den nya avgiftskonstruktionen infördes genom förordningen (1982:481) om avgifter för Datainspektionens verksamhet. I förordningen angavs det ekonomiska mål som riksdagen godkände år 1979, att kostnaderna för Datainspektionens verksamhet skall täckas genom avgifter.

Enligt förordningen skulle avgift till Datainspektionen betalas bl.a. av den som erhöll licens och ansökte om tillstånd enligt datalagen eller gjorde ansökan eller anmälan om tillstånd att bedriva kreditupplysnings- eller inkassoverksamhet. Förordningen upphävdes per den 24 oktober 1998 när licens- och tillståndssystemet enligt datalagen upphörde i samband med personuppgiftslagens ikraftträdande.

I 1998 års ekonomiska vårproposition uttalades att sedan licensavgifterna försvunnit Datainspektionens verksamhet bör finansieras med ett förvaltningsanslag i statsbudgeten.7 Vid denna tidpunkt kostade Datainspektionens hela verksamhet ca 24 miljoner kr. Licensintäkterna uppgick till ca 22 miljoner kr och handläggningsavgifterna till ca 2 miljoner kr. Därutöver hade inspektionen intäkter om ca 1 miljon kr som härrörde från informationsverksamheten.

5.2.2. Nuvarande kostnader och intäkter

Av Datainspektionens årsredovisning för år 2000 framgår att kostnaden för myndighetens verksamhet år 2000 uppgick till 28 765 000 kr. Av detta belopp stod kostnader för personal för drygt 21 miljoner kr.

Myndigheten finansierar sin verksamhet till övervägande del med intäkter från anslag, 27 412 000 kr. Övriga intäkter är avgifter och andra ersättningar från framförallt utbildningar och konferenser, 1 203 000 kr, och finansiella intäkter.

Budgetåret 2001 tilldelades Datainspektionen ett anslag om 26 644 000 kr.8 För år 2002 föreslår regeringen att anslaget för Datainspektionens verksamhet skall uppgå till 29 390 000 kr. För år 2003 och 2004 beräknas anslaget uppgå till 30 105 000 kr respektive 30 693 000 kr.9

7Prop. 1997/98:150 s. 100. 8Prop. 2000/01:01 Utgiftsområde 1, bet. 2000/01:KU1, rskr. 2000/01:63. 9Prop. 2001/02:1 Utgiftsområde 1 s. 20.

5.3. Datainspektionens förslag 1998-02-26 till finansiering av Datainspektionens tillsynsverksamhet

Regeringen beslutade den 4 december 1997 att Datainspektionen skulle utreda och föreslå ett system för avgiftsfinansiering av den tillsyn som myndigheten skall utföra efter genomförandet av dataskyddsdirektivet i svensk lagstiftning. Av förslaget skulle framgå antalet tillsynsobjekt som skulle betala avgift samt hur objekten skulle identifieras, kriterier för att göra en eventuell differentiering av avgiftsnivån, beräknade avgiftsnivåer och administrationskostnader. Regeringens utgångspunkt för uppdraget var att kostnader för tillsyn som bedrivs av staten i princip skall belasta dem som orsakar att tillsynen behövs. Det skulle vara enkelt att identifiera dem som skapar riskerna, avgiften borde variera med graden av risk och avgiftssystemet skulle kunna administreras utan att kostnaderna blev för stora i förhållande till avgiftsintäkten.

5.3.1. Datainspektionens förslag

Krav på finansieringssystemet

Det skall uppfattas som rättvist och vara lätt och billigt att administrera. Ett litet företag med få behandlingar av känsliga personuppgifter skall inte behöva betala samma tillsynsavgift som en stor statlig myndighet som har en omfattande hantering av personuppgifter.

Vem som skall betala

Tillsynsavgift skall med vissa begränsningar betalas av alla dem som behandlar personuppgifter helt eller delvis automatiserat. Datainspektionen ansåg anmälningsskyldigheten för vissa automatiserade behandlingar inte vara en tillräcklig grund för ett avgiftsuttag, eftersom det finns omfattande undantag från skyldigheten och tillsyn kommer att bedrivas mot alla som omfattas av personuppgiftslagen oavsett om de gör någon anmälan till Datainspektionen eller inte.

Ett finansieringssystem som bygger på antalet anställda

Det sätt som Datainspektionen föreslog för att identifiera och dela in dem som skulle finansiera tillsynsverksamheten var att utgå från antalet anställda. Man förutsatte helt enkelt att de som har anställda behandlar personuppgifter, och ju fler anställda man har desto fler personuppgifter behandlar man. Med anställda skulle då avses antalet anställda per den 31 december föregående år för vilka kontrolluppgift lämnas till skattemyndigheten såvida den sammanlagda årsinkomsten översteg ett basbelopp. En sådan definition skulle enligt förslaget medge en enkel kontroll mot antingen det allmänna företagsregistret (BASUN) eller Patent- och registreringsverkets register.

Avgiften för statliga myndigheter, kommuner och landsting skulle vara relativt sett högre, eftersom de i stor utsträckning utför behandlingar av känsliga personuppgifter.

För att göra schablonsystemet mera rättvist föreslogs att de som har färre än tio anställda helt skulle undantas från tillsynsavgift. Det diskuterades också att man även kunde beakta t.ex. i vilken omfattning behandlingar som är känsliga från integritetssynpunkt utförs. Eftersom sådana uppgifter inte finns tillgängliga ansågs emellertid det administrativa krångel en sådan differentiering skulle medföra att rättvisan skulle bli omotiverat dyr.

Antal anställda

Staten Kommun/Landsting Övriga

10 - 49 2 000 kr 500 kr 50 - 199 4 000 kr 1 000 kr 200 - 499 7 000 kr 1 500 kr - 499 10 000 kr 500 - 7 000 kr 10 000 kr 2 000 kr

De sammanlagda avgifterna för statliga myndigheter, kommuner och landsting skulle därmed uppgå till ca 7 500 000 kr, och för övriga till ca 17 500 000 kr. Administrationskostnaderna skulle uppgå till ca 1 800 000 kr. Årlig avgift skulle faktureras av Datainspektionen och betalningsskyldigheten och avgiftsgrunderna skulle framgå av lag. Det senare därför att den föreslagna avgiftsmodellen ansågs ha karaktären av skatt.

5.3.2. Riksrevisionsverkets yttrande

Riksrevisionsverket (RRV) som hade svårigheter att se ett direkt samband mellan antal anställda i en organisation och behovet av tillsyn avstyrkte Datainspektionens förslag till finansiering. Avgörande för behovet av tillsyn måste enligt RRV i stället vara risken för integritetsintrång. Behovet av tillsyn är enligt RRV större i en liten organisation som behandlar en stor mängd personuppgifter med stor risk för integritetsintrång än i en stor organisation med behandling av få personuppgifter med relativt liten risk för intrång.

RRV ansåg slutligen att Datainspektionens förslag inte överensstämde med de förutsättningar regeringen angivit. Det förelåg enligt RRV:s uppfattning inte ett sådant samband mellan det föreslagna avgiftssystemets utformning och riskerna för integritetsintrång att kostnader för tillsyn på ett tydligt sätt skulle belasta dem som orsakar att tillsynen behövs. Om detta samband inte upprätthålls i någon närmare utsträckning framstår systemet närmast som en beskattning i stället för en avgiftsbeläggning av tillsynsverksamheten.

5.3.3. Regeringens behandling

Regeringen har valt att inte gå vidare med Datainspektionens förslag till avgiftsfinansiering av myndighetens verksamhet. I 1998 års ekonomiska vårproposition uttalar regeringen som ovan nämnts att sedan licensavgifterna försvunnit bör verksamheten finansieras med ett förvaltningsanslag i statsbudgeten (prop. 1997/98:150 s. 100).

5.4. Datalagskommitténs överväganden avseende Datainspektionens finansiering

Datalagskommittén ansåg att Datainspektionens verksamhet bör bekostas av de som förorsakar kostnaderna, nämligen av de som behandlar personuppgifter.

Det kan dock, enligt kommittén, riktas avgörande principiella invändningar mot att ta ut tillsynsavgift bara från de personuppgiftsansvariga som Datainspektionen väljer ut. Att vid brott mot personuppgiftslagen ett allmänt skadestånd eller liknande skulle betalas, inte till de integritetsskadade utan till Datainspektionen eller statskassan, föreföll enligt kommittén också olämpligt.

Utredningen ansåg att Datainspektionen skall kunna ta ut avgifter för vissa prestationer som enskilda har begärt av inspektionen, t.ex.

avgift för skrifter, informationsmaterial, kurser, kvalificerad rådgivning och medverkan vid konferenser. Samtidigt konstaterades att sådana avgifter dock inte på långa vägar torde räcka till för att finansiera inspektionsverksamheten.

Kommittén diskuterade också alternativet att finansiera Datainspektionens verksamhet med en särskild avgift som utgår för något som brukar ha med behandling av personuppgifter att göra, t.ex. datorer eller medier för lagring av digitala signaler. Avgiften borde betalas av ett ganska hanterligt antal skattesubjekt som har möjlighet att föra kostnaden vidare till flera. En nackdel med en sådan avgift ansågs dock vara att kostnaderna för att administrera avgiften torde bli stora i förhållande till de jämförelsevis obetydliga belopp som behöver tas ut.

Kommittén fann sammanfattningsvis att alla angivna finansieringsmöjligheter var förenade med betydande nackdelar, och att den minst dåliga var att Datainspektionens verksamhet finansieras över statsbudgeten. Utredningen ansåg det därför naturligt att Datainspektionens verksamhet med att skydda den personliga integriteten i samhället finansieras med skattemedel.

UTREDNINGENS ÖVERVÄGANDEN

6. Datainspektionen och skyddet för den personliga integriteten

Datainspektionen är, och bör även fortsättningsvis vara, central förvaltningsmyndighet med uppgift att verka för att människor i Sverige skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter.

6.1. Inledning

I utredningens uppdrag ingår i första hand att analysera vilka krav som den nya personuppgiftslagen ställer på förändringar i Datainspektionens verksamhetsinriktning och arbetsformer. I denna översyn skall särskilt beaktas den snabba utvecklingen inom informationsteknikens område.

Under rubriken Datainspektionen och skyddet för den personliga integriteten tar utredningen upp det grundläggande syftet med Datainspektionens verksamhet och på vilka olika sätt ändamålet med verksamheten bäst kan främjas.

Detta kapitel skall i första hand ses som en bakgrund till kapitel 7 och 8 i vilka utredningen närmare går in på vilka uppgifter Datainspektionen enligt utredningens uppfattning särskilt skall inrikta sin verksamhet på i framtiden.

I det föreliggande kapitlet diskuterar emellertid utredningen även frågor som på ett mer övergripande plan rör det framväxande informationssamhället och behandlingen av personuppgifter. På så sätt har kapitlet även anknytning till de övriga frågor som omfattas av utredningens uppdrag. Kapitel 6 skall således tjäna som en introduktion till utredningens överväganden i sin helhet.

6.2. Datainspektionens uppgift i informationssamhället

Datainspektionens uppgift enligt personuppgiftslagen belyses bäst genom en beskrivning och jämförelse med förhållandena under datalagens tid. Detta har tidigare ingående beskrivits i kapitel 3.

Det bör emellertid framhållas att den förändring, för Datainspektionens del, som har skett genom personuppgiftslagens ikraftträdande inte utgör en skarp skiljelinje mellan två helt olika verksamhetsinriktningar. Målsättningen för inspektionens verksamhet har i stort sett varit densamma hela tiden och det har varit fråga om en successiv utveckling och förändring av arbetsuppgifterna alltsedan Datainspektionen inrättades år 1973.

I förarbetena till personuppgiftslagen framhålls särskilt att den nya lagen till skillnad från sin föregångare, datalagen, är teknikoberoende. Någon grundläggande förändring av syftet med lagstiftningen är det dock inte fråga om. Ändamålet med Datainspektionens verksamhet, enligt såväl datalagen som personuppgiftslagen, har varit och är att förhindra otillbörligt intrång i den personliga integriteten vid automatiserad behandling av personuppgifter.

Begreppet teknikoberoende har i motiven till personuppgiftslagen snarast kopplats till att även vissa manuella behandlingar av personuppgifter omfattas av lagen. Att framhålla bestämmelsernas teknikoberoende är också ett sätt för lagstiftaren att understryka att lagen är generellt tillämplig.1

Alltjämt är avsikten med lagstiftningen, och därmed också Datainspektionens verksamhet, att undanröja den ökade risk för intrång i den personliga integriteten som den automatiserade behandlingen av personuppgifter kan leda till. De möjligheter som informationstekniken för med sig ökar risken för otillbörligt intrång i den personliga integriteten och det finns därför ett särskilt behov av skydd vid automatiserad behandling av personuppgifter. På så sätt har såväl lagstiftningen som Datainspektionens verksamhet anknytning till den tillämpade tekniken, även om ändamålet är ett generellt skydd för den personliga integriteten.

Den för Datainspektionen kanske mest väsentliga förändring som skett genom personuppgiftslagen är att det tillståndskrav för behandling av personuppgifter som gällde enligt datalagen har tagits bort. Härigenom kan Datainspektionens roll betonas, att som en renodlad tillsynsmyndighet med alla krafter tillvarata och främja skyddet för den personliga integriteten.

1Prop. 1997/98:44 s. 38 ff.

Metoden för att skydda den personliga integriteten skall främst vara att myndigheten informerar om den nya lagstiftningen och inspekterar att lagregler och föreskrifter efterlevs i den praktiska tillämpningen. En närmare redovisning av detta följer i kapitel 7. I föreliggande kapitel diskuterar utredningen i första hand själva syftet med Datainspektionens verksamhet, hur detta kan uppnås och vad som avses med den personliga integriteten.

6.2.1. Syftet med Datainspektionens verksamhet

Utgångspunkten för personuppgiftslagen är att tillförsäkra den enskilde ett fullgott integritetsskydd i IT-samhället samtidigt som användningen av ny teknik i samhällsutvecklingen inte skall försvåras i onödan. I enlighet härmed anges också allra först i förordningen (1998:1192) med instruktion för Datainspektionen att inspektionen är central förvaltningsmyndighet med uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Detta är det grundläggande och allt överskuggande syftet med Datainspektionens verksamhet.

Även personuppgiftslagens föregångare, datalagen, hade som ändamål att skydda den personliga integriteten. Utgångspunkten för förslaget till datalag var att den enskilde – med de begränsningar som följer av samhällsgemenskapens krav – bör ha tillgång till en fredad sektor, inom vilken han eller hon skall kunna avvisa otillbörlig inblandning från det allmänna eller andra.2 Integritetsskyddet skulle enligt datalagen upprätthållas genom att ett tillståndstvång för automatisk databehandling av personuppgifter infördes och att personregistren underkastades en fortlöpande tillsyn. Dessa uppgifter skulle anförtros en självständig myndighet kallad Datainspektionen.

Datainspektionen inrättades således år 1973 och har sedan dess haft till uppgift att förhindra kränkningar av den personliga integriteten vid behandling av personuppgifter.

Datalagen och Datainspektionen tillkom som namnen anger som en följd av datorernas intåg i det svenska samhället. När den nya datorteknikens inverkan på samhället började diskuteras under slutet av 1960-talet, var det emellertid i första hand dess inverkan på offentlighetsprincipen och allmänna handlingarnas offentlighet som kom att ställas i fokus, inte den personliga integriteten.

Först något senare började frågor med direkt anknytning till skyddet för den personliga integriteten att bli aktuella. De möjligheter att hantera information som den nya tekniken erbjöd medförde farhågor

2SOU 1972:47.

hos medborgarna som hade att göra med vilken uppgiftsinsamling myndigheterna skulle tillåtas att göra och vad de insamlade uppgifterna skulle få användas till. De nya möjligheterna ansågs påtagligt öka myndigheternas makt över de enskilda och därmed även risken för intrång i den personliga integriteten.

Detta är ur historisk synvinkel inget nytt. Människor tycks alltid ha förknippat ankomsten av ny teknik med hot mot den personliga integriteten. Detta har gällt flera tekniska nymodigheter, såväl kameran och tryckpressen som naturligtvis persondatorn och Internet. Varje sådant tekniskt framsteg har medfört ett förnyat och ökat intresse för skyddet för den personliga integriteten.

Det är emellertid inte datortekniken som sådan som Datainspektionen, trots namnet, har till huvuduppgift att hålla sitt vakande öga över. Det är i stället de möjligheter att behandla personuppgifter som datortekniken ger och de risker för den personliga integriteten detta för med sig som inspektionen skall koncentrera sig på. Detta sägs för att återigen belysa att det är skyddet för den personliga integriteten som är den huvudsakliga uppgiften för inspektionens verksamhet.

6.3. Den personliga integriteten

Den personliga integriteten har uppmärksammats i många statliga utredningar och varit föremål för analys även i många andra sammanhang. Det genomgående för dessa överväganden har varit att det alltid visat sig lika svårt att precisera innebörden i begreppet personlig integritet.

Uppfattningen om vad som omfattas av den personliga integriteten varierar mellan olika människor. Det beror i hög grad på den enskildes subjektiva uppfattning om vad denne anser ingå i den rent personliga sfären. Den enskildes uppfattning kan i sin tur påverkas av t.ex. politisk eller religiös övertygelse. Dessutom förändras inställningen till integritet över tiden. Värderingar påverkas mycket av den tidsålder och det samhälle man lever i. När det gäller uppgifter som är personliga kan det också ha betydelse i vilket sammanhang de används om den enskilde uppfattar det som att hans integritet har kränkts eller inte.

Det kan konstateras att varken svensk lagstiftning eller doktrin innehåller någon enhetlig definition av begreppet personlig integritet. Så används t.ex. i 1 kap. 2 § tredje stycket regeringsformen (RF) begreppet ”enskilds privatliv” när den grundläggande ambitionen för det allmänna att skydda den ”personliga integriteten” slås fast, efter-

som det senare begreppet ansågs svårbegripligt och svårt att avgränsa.3Begreppet finns emellertid sedan år 1989 i 2 kap. 3 § andra stycket RF.

Oavsett svårigheten att definitivt klarlägga innebörden i begreppet personlig integritet måste man på något sätt ta sig an begreppet i alla sammanhang som rör behandling av personuppgifter och tillämpning av personuppgiftslagen. Det grundläggande syftet med lagstiftningen är skyddet för den personliga integriteten. Såväl de som behandlar personuppgifter som Datainspektionen i sin roll som tillsynsmyndighet måste därför i vart fall ha en föreställning om begreppets innebörd i allmänhet och dess betydelse för den praktiska tillämpningen i det enskilda fallet.

Personlig integritet kan vara att slippa få vissa personliga uppgifter om sig själv spridda till andra människor. Svårigheten att definiera begreppet positivt har dock lett till att man i stället försökt att identifiera vad som konstituerar en kränkning av den personliga integriteten. En integritetskränkning beskrivs i dessa sammanhang som att förlora kontrollen över sin egen person eller en viss typ av uppgifter om sig själv.

När det gäller frågan om vilka förhållanden som generellt sett anses utgöra intrång i annans personliga integritet hänvisas ofta till en av professorn Stig Strömholm upprättad ”kränkningskatalog”. Som exempel ur denna kan nämnas spridande av förtroliga uppgifter, avslöjande inför offentligheten av annans privata förhållanden, utnyttjande av annans namn eller bild och angrepp på annans heder och ära.4

Professorn Peter Seipel delar in försöken att precisera innebörden av begreppet personlig integritet i följande kategorier:

(a) Sfärteorin

Den enskilde har en innersta sfär, där förhållanden, egenskaper och handlingar inte bör vara kända av andra än den enskilde själv. Utanför denna innersta sfär finns andra sfärer med gradvis avtagande känslighet och med växande anspråk från omvärlden på att information måste vara tillgänglig. (b) Datakategoriteorin

Det finns olika kategorier av data som kan känslighetsgraderas. Exempelvis är adressuppgifter, generellt sett, mindre integritetskänsliga än uppgifter om politisk övertygelse. (c) Situationsteorin

Det finns inga kategorier av data som à priori kan anses okänsliga från integritetsskyddssynpunkt. Intrångsmöjligheterna hänger helt och hållet samman med i vilken situation uppgifter används,

3Prop. 1975/76:209 s. 131. 4 SvJT 1971 s. 698 f.

dvs. av vem, för vilket syfte, tillsammans med vilka andra uppgifter osv. (d) Äganderättsteorin

Data om individen är individens egendom. Han eller hon måste alltid samtycka till att andra får del av dem. (e) Autonomiteorin

Integritetsskyddets kärna består i en rätt att bli lämnad ifred, att själv få avgöra i vilka sammanhang och under vilka förutsättningar man träder i förbindelse med omvärlden, framför allt med myndigheter och andra representanter för samhället. (f) Empirteorin Vad som uppfattas som integritetsintrång måste fastställas på statistisk väg. Man måste således hämta vägledning i undersökningar av det slag som vid flera tillfällen har utförts av Statistiska centralbyrån.5Rätten till personlig integritet är vidare inte absolut, utan från tid till annan föremål för inskränkningar. Skyddet för den personliga integriteten måste avvägas mot andra grundläggande demokratiska rättigheter och värden, t.ex. informationsfriheten och yttrandefriheten.

Man måste också beakta de helt legitima behov som finns att använda personanknuten information i ett samhälle av sådan storlek och komplexitet som det vi lever i. Detta uttalas, som tidigare sagts, redan i förarbetena till datalagen. Utgångspunkten var där att skyddet för den personliga integriteten inte kan sträcka sig längre än vad som är möjligt med hänsyn till de krav samhällsgemenskapen uppställer. Det förutsattes således att en väl fungerande samhällsorganisation alltid kommer att medföra intrång i enskilda individers personliga integritet. Frågan blir då vad som kan tolereras och vad som går utöver det som är acceptabelt samt vad som är ett otillbörligt intrång i den personliga integriteten och vad som inte är det.

Mot bakgrund härav kan man säga att personers integritet kränks i den mån som det sker ett intrång i deras privata sfär och/eller uppgifter om dem, som det finns rimliga skäl att beteckna som integritetskänsliga, sprids. Dessa uppgifter kan gälla personers egenskaper, uppfattningar eller handlingar. Rättigheten till personlig integritet kan beskrivas som en ”prima facie-rättighet”. Den är en giltig och välgrundad rättighet som dock i en konkret handlingssituation kan sättas ur spel om den kommer i konflikt med någon annan rättighet som väger tyngre.6

5 Seipel, Juridik och IT, 7:e uppl. s. 252 f. 6SOU 1997:39 s. 796 och 801.

Det klassiska målet för integritetsskyddet i samband med automatiserad behandling av personuppgifter – att få bli lämnad i fred – har emellertid enligt vissa fått ett nytt innehåll genom att datakvalitetsfrågor tagit över. Man framhåller härvid vikten av att behandlade uppgifter är korrekta, att uppgifterna används i rätt sammanhang och endast för berättigade ändamål. Skyddsintresset kan i detta sammanhang anses vara lika viktigt för juridiska personer som för enskilda individer. Fokus är mer inriktat på att informationsbehandlingen håller en hög kvalitet än att individens personuppgifter inte får behandlas.

Flera försök att närmare utreda begreppet personlig integritet har gjorts i andra sammanhang där bl.a. frågor om datoriseringen i samhället har varit aktuella. Som exempel kan nämnas Offentlighets- och sekretesslagstiftningskommittén i betänkandet Data och Integritet (SOU 1972:47), Datalagstiftningskommittén i betänkandet Personregister – Datorer – Integritet (SOU 1978:54) samt Data- och offentlighetskommittén i betänkandet Integritetsskyddet i informationssamhället 3 (Ds Ju 1987:8).

Av allt att döma finns det enighet om att vissa faktorer är särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid automatiserad behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras och varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar.

Att den personliga integriteten skyddas innebär enligt Datalagskommittén att användningen av personuppgifter regleras och begränsas. Enligt dess uppfattning står det klart att en integritetsskyddslagstiftning måste hämma användningen av personuppgifter; ju mera användningen hämmas, desto starkare blir integritetsskyddet. Vilken reglering och begränsning av användningen av personuppgifter som är nödvändig för att skydda den personliga integriteten ansåg kommittén till stora delar vara en fråga som är beroende av rådande värderingar i samhället. Sådan användning som enligt dessa värderingar framstår som otillbörligt intrång i annans personliga integritet skall så långt som möjligt förebyggas. När personuppgifter som är felaktiga eller missvisande används, kan det få svåra konsekvenser för såväl enskilda som verksamheten i samhället. Då kan det bli fråga om direkt mätbara fysiska eller ekonomiska skador, t.ex. när fel person sätts i fängelse eller fel ben amputeras. Att användningen av personuppgifter leder till sådana skador kan givetvis aldrig accepteras; det är därför ett oeftergivligt krav att de uppgifter som används är riktiga och inte missvisande. Men i övrigt – dvs. när och hur i och för sig korrekta

personuppgifter används – utgör regleringen av integritetsskyddet en värderingsfråga.7

Integritetsskyddslagstiftningen i form av bl.a. personuppgiftslagen och Datainspektionens tillämpning av gällande regler skall alltså utgöra den reglering och begränsning av användningen av personuppgifter som enligt rådande värderingar i samhället är nödvändig för att skydda den personliga integriteten.

6.4. Varför skall den personliga integriteten skyddas?

Frågor som kan ställas är varför det är viktigt att skydda den personliga integriteten vid behandling av personuppgifter och vilken uppgift Datainspektionen härigenom egentligen fyller.

Den nya informationsteknikens möjligheter har gjort att hanteringen av personanknuten information ökat. Tekniken blir allt kraftfullare, billigare och enklare att hantera. Det gör att den blir tillgänglig för allt fler samtidigt som det blir allt enklare att söka, ta del av och sprida datorlagrad personlig information. Den nya teknikens möjligheter kan således lätt användas på ett inträngande, övervakande eller annars för individen kränkande sätt. Samtidigt bör individen av samhället kunna kräva ett skydd mot integritetskränkningar.

6.4.1. En grundläggande mänsklig rättighet

Det är nog inte för mycket sagt att det finns en allmän uppfattning i samhället att varje person har ett välgrundat anspråk på att andra personer handlar på ett sådant sätt att hans eller hennes personliga integritet respekteras. Oavsett den exakta definitionen av begreppet personlig integritet finns en privat sfär som man inte accepterar intrång i. Skyddet för den personliga integriteten är en grundläggande mänsklig rättighet, upprättad genom internationella konventioner, nationell lagstiftning, tradition och kultur.

Till grund för stadgandet i 1 kap. 2 § tredje stycket RF, om värnandet av den enskildes privatliv, ligger uppfattningen att grundsatsen om den enskildes rätt till en fredad sektor är av så väsentlig betydelse i en demokratisk stat att den bör komma till allmänt uttryck i grundlag.8

7SOU 1997:39 s. 180 f. 8Prop. 1975/76:209 s. 131.

Skyddet för den personliga integriteten uppfattas också som viktigt av de enskilda människor som är berörda. Man skulle kunna tro att människors upplevda obehag av att personuppgifter behandlas i olika sammanhang skulle ha minskat i takt med att användningen av datorer ökat och IT-samhället krupit närmare. Emellertid visar de undersökningar som gjorts att många människor är negativa eller åtminstone tveksamma till att deras personuppgifter används utan att de får reda på det och utan att de har någon möjlighet till inflytande. Människor upplever det som obehagligt att deras personuppgifter flödar fritt utom deras kontroll, oavsett om uppgifterna i någon mening missbrukas eller om de själva har råkat ut för något negativt på grund av att uppgifterna använts.9

6.4.2. Lagar och internationella konventioner

Att skyddet för den personliga integriteten uppfattas som en grundläggande mänsklig rättighet har lett fram till att såväl enskilda nationer som mellanstatliga organisationer har ansett det nödvändigt att formulera regler för behandling av personuppgifter.

Europarådets ministerkommitté antog år 1980 en konvention till skydd för enskilda vid automatisk databehandling av personuppgifter, den s.k. dataskyddskonventionen. Konventionens syfte är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter. Utgångspunkten var att vissa av den enskildes rättigheter kan behöva skyddas i förhållande till den princip om fritt flöde av information, oberoende av gränser, som finns inskriven i internationella överenskommelser om mänskliga rättigheter.

Inom EU har man antagit Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet). Syftet med dataskyddsdirektivet är att skapa en gemensam, hög nivå på integritetsskyddet för att därigenom möjliggöra ett fritt flöde av personuppgifter medlemsländerna emellan.

De grundläggande bestämmelserna i svensk nationell rätt till skydd för den personliga integriteten finns i regeringsformen. I 1 kap. 2 § RF slås, som nämnts, fast att det allmänna skall värna om den enskildes privatliv. Denna intention kommer till uttryck i stora delar av den lagstiftning som reglerar det allmännas handlande gentemot enskilda och även enskildas handlande gentemot varandra. Som exempel på

9SOU 1997:39 s. 183 f.

sådan lagstiftning kan nämnas brottsbalken och sekretesslagen (1980:100).

Av stor betydelse är även rätten för enskilda att enligt 2 kap. tryckfrihetsförordningen ta del av allmänna handlingar (handlingsoffentligheten). Härigenom garanteras enskilda insyn i och kontroll av den offentliga förvaltningen, vilket kan vara positivt från integritetssynpunkt. Offentligheten kan emellertid även innebära nackdelar från integritetssynpunkt, eftersom enskilda tvingas acceptera att uppgifter om dem kan vara åtkomliga för andra personer.

I 2 kap. 3 § RF finns en särskild bestämmelse som avser integritetsskyddet vid användningen av automatisk databehandling. Där sägs att varje medborgare, i den utsträckning som anges i lag, skall skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling.

Den författning som tidigare har haft som främsta syfte att uppfylla regeringsformens intentioner i fråga om integritetsskydd i datoriserad verksamhet är datalagen (1973:289). I Sverige har det under i stort sett hela datalagens livstid pågått en diskussion om att införa en ny datalagstiftning som är bättre anpassad till verkligheten. Efter inträdet i EU har Sverige genom personuppgiftslagen infört dataskyddsdirektivet i svensk rätt. Personuppgiftslagens syfte är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter.

Särskilda integritetsskyddande bestämmelser finns även i en rad olika registerförfattningar.

6.4.3. Underlätta användningen av ny teknik

Den nya informationstekniken skapar möjlighet för enskilda att förenkla sin vardag och ger företag och myndigheter möjlighet att rationalisera sin verksamhet. Att inte utnyttja den nya tekniken kan innebära att avgörande konkurrensmöjligheter eller viktiga förutsättningar för att effektivisera verksamheten förloras.

De farhågor som finns om intrång i den personliga integriteten kan medföra att människor undviker att använda ny teknik. För att undanröja sådan oro och för att underlätta användningen av ny teknik är det därför viktigt att samhället tar sitt ansvar för att upprätthålla ett fullgott integritetsskydd. Här fyller integritetsskyddslagstiftningen och naturligtvis Datainspektionen, med sina uppgifter och befogenheter som tillsynsmyndighet, mycket viktiga roller.

I enlighet härmed syftar lagstiftningen till att inte i onödan hindra användningen av ny teknik. Såväl dataskyddsdirektivet som personuppgiftslagen bygger på dessa tankegångar.

I preambeln till dataskyddsdirektivet sägs att systemen för databehandling av uppgifter är till för människornas skull. Systemen skall med respekt för grundläggande fri- och rättigheter – särskilt rätten till privatlivet – bidra till ekonomiska och sociala framsteg, handelns utveckling och enskilda personers välfärd.

I förarbetena till personuppgiftslagen framhålls också att den nya tekniken inte bara för med sig risker, utan även många obestridliga fördelar som kan höja livskvaliteten och ge en ökad frihet för många människor och som måste utnyttjas för att Sverige skall kunna behålla och förstärka sin position bland industrinationerna.10

6.4.4. En ekonomisk nödvändighet

Skyddet för den personliga integriteten uppfattas som allt viktigare av de människor som är berörda och det finns en allt större oro för den behandling av personuppgifter som utförs av privata intressenter.11Anställda, konsumenter, patienter och andra vars personuppgifter samlas in och behandlas har ett berättigat intresse av att deras personuppgifter behandlas korrekt och att de inte blir utsatta för intrång.

På många olika sätt är det i dagens samhälle helt nödvändigt för att kunna deltaga i det normala vardagslivet att man avslöjar personlig information om sig själv. I allt större utsträckning är det också olika former av affärsverksamheter och deras omfattande utnyttjande av elektronisk information som uppfattas utgöra hotet mot den personliga integriteten.

Detta har fått till följd att marknaden för varor och tjänster som skyddar den personliga integriteten ökar kraftigt. Ju större hotet är mot den personliga integriteten desto värdefullare är det att kunna erbjuda skydd mot intrång i densamma. Det är numera en allmänt spridd uppfattning att det är skyddet för den personliga integriteten som är den stora frågan som måste lösas för att en ekonomi byggd på informationstekniken skall kunna genomföras fullt ut. Särskilt för företag inom e-handel och för användningen av Internet är det således viktigt att konsumenterna har förtroende för att deras personuppgifter behandlas på ett korrekt sätt. Inom dessa, men även andra kommersiella områden, är det näst intill nödvändigt för verksamheten att man har en uttalad

10Prop. 1997/98:44 s. 31. 11 Toby Lester, The Reinvention of Privacy, The Atlantic online, <www.theatlantic.com/issues/2001/03/lester-p1.htm>.

och pålitlig policy för skyddet för den personliga integriteten. Det kan medföra allvarliga negativa följder om människors personliga integritet inte respekteras. Inom dessa områden kan inte en verksamhet bedrivas utan att ett fullgott integritetsskydd erbjuds.

Skyddet för den personliga integriteten är således inte bara en fråga om lag och moral, det är en ekonomisk nödvändighet.

6.5. Hur kan den personliga integriteten skyddas i samband med behandling av personuppgifter?

Syftet med Datainspektionens verksamhet är att skydda människor mot intrång i den personliga integriteten vid behandling av personuppgifter. Under datalagens tid gällde inledningsvis att integritetsskyddet skulle iakttas genom att behandling av personuppgifter inte fick ske utan tillstånd från Datainspektionen. Att skapa ett sådant system var högst naturligt på den tid då persondata fanns registrerade i ett antal stora datorer och då antalet system var få och lättöverskådliga och det sålunda var realistiskt att tillsynsmyndigheten skulle kunna pröva och kontrollera att datahanterarna följde lagen.

Tillståndsförfarandet kompletterades sedermera med en något enklare hantering där de registeransvariga gjorde en anmälan om licens för att få föra personregister. Man märkte dock snart att systemet inte fullt ut fyllde sin funktion, t.ex. gjorde endast en bråkdel av de registeransvariga verkligen licensanmälan. Systemet var dessutom tungrott och tog stora administrativa resurser från inspektionen. Det faktiska skyddet för den personliga integriteten kunde därför inte sägas fullt ut motsvara statsmaktens och myndighetens ambitioner.

Strävan blev därför att försöka avskaffa tillståndsförfarandet och licenssystemet, och förändra Datainspektionens verksamhet till en renodlad tillsynsmyndighet. Tanken bakom en sådan förändring var att det skulle gynna integritetsskyddet mer om inspektionen var ute på fältet och verkligen kontrollerade hur behandlingen av personuppgifter fungerade och i vilken mån reglerna efterlevdes, i stället för att läsa de papper som de olika registeransvariga skickade till myndigheten. Under i stort sett hela 1990-talet har Datainspektionen stadigt ökat antalet inspektioner per år.

Men med ett så omfattande ansvarsområde som Datainspektionen har så är det emellertid praktiskt taget omöjligt att verkligen inspektera allt och alla. Man måste göra prioriteringar och fokusera sin verksamhet på det som bäst kan värna skyddet för den personliga integriteten.

Det finns flera tillvägagångssätt för hur man skall förebygga intrång i den personliga integriteten vid behandling av personuppgifter. Vissa omständigheter framträder dock som mer betydelsefulla än andra för att uppnå en hög nivå på integritetsskyddet. Goda kunskaper om de möjligheter regler och tekniska hjälpmedel ger för integritetsskydd vid behandling av personuppgifter, ett väl fungerande regelverk och effektiv kontroll av regelefterlevnaden är alla sådana faktorer. Det är utifrån dessa faktorer som åtgärderna skall vidtas.

Att arbeta för skydd för den personliga integriteten vid behandling av personuppgifter är givetvis en uppgift för alla, såväl för personuppgiftsansvariga och registrerade som naturligtvis för lagstiftaren och Datainspektionen. Vad utredningen anser Datainspektionen särskilt skall inrikta sin verksamhet på för att en hög nivå på skyddet för den personliga integriteten skall uppnås redovisas, som nämnts, i kapitel 7.

6.5.1. Information

En hög nivå på integritetsskyddet förutsätter goda kunskaper om aktuella problem och frågeställningar som rör personlig integritet vid behandling av personuppgifter. Detta är ett fortgående ansvar för Datainspektionen men också för varje myndighet eller annan organisation som bestämmer sig för att ta dessa frågor på allvar. När myndigheter, företag, organisationer och privatpersoner är medvetna om vilka risker som finns kan de se till att adekvata skyddsåtgärder vidtas och ställa krav på att integritetsproblem beaktas inom viktiga områden.

Information

Det är av grundläggande betydelse att det finns kunskap i samhället om de regler som styr behandlingen av personuppgifter och som värnar skyddet för den personliga integriteten i samband härmed. Det gäller då i första hand naturligtvis personuppgiftslagen. Denna kompletteras dock av bl.a. föreskrifter och särskilda registerförfattningar. Information från Datainspektionen bör beröra bl.a. vilka rättigheter och skyldigheter de personuppgiftsansvariga respektive registrerade har.

För att människor skall kunna tillvarata integritetsskyddet bör informationen också uppmärksamma bl.a. de hot mot den personliga integriteten som kan vara aktuella och vilka tekniska hjälpmedel som finns till hands för att undvika otillbörliga intrång.

Rådgivning

Även en mycket väl fungerande informationsverksamhet kan inte täcka alla frågor som uppkommer i samband med behandling av personuppgifter. En viktig funktion för att sprida kunskap om integritetsskyddslagstiftningen och personuppgiftsbehandling är därför den rådgivning som sker i specifika frågor. För företag och myndigheter som bygger upp stora datasystem och register, behandlar känslig information eller på annat sätt utnyttjar ett stort antal personuppgifter är det viktigt att redan på ett tidigt stadium kunna få råd och vägledning om hur man skall gå tillväga. God rådgivning kan uppmärksamma de problem som finns och härigenom förhindra senare olägenheter och intrång samt onödiga kostnader.

Också rådgivning till enskilda som vill veta sina rättigheter och skyldigheter främjar integritetsskyddet. Det är därför viktigt att man kan vända sig till Datainspektionen med frågor. Personuppgiftsombuden bör också kunna fylla en funktion i detta sammanhang.

Regelgivning

För integritetsskyddet är det vidare viktigt att det finns ett väl anpassat och fungerande regelverk. I Sverige har vi personuppgiftslagen som bygger på EU:s dataskyddsdirektiv om skydd för enskilda personer med avseende på behandling av personuppgifter. Lagen innehåller emellertid endast allmänt hållna generella principer som måste kompletteras och preciseras med föreskrifter om den praktiska tillämpningen i enskilda fall.

Här åligger det riksdagen, regeringen och Datainspektionen att överbrygga glappet mellan generella lagstadgade principer och de speciella omständigheter som gäller för olika enskilda sektorer i samhället genom att meddela särskilda föreskrifter och allmänna råd. I en rad olika registerförfattningar finns för vissa områden särskilda integritetsskyddande bestämmelser.

En viktig roll för Datainspektionen är att som remissinstans bevaka integritetsfrågor i samband med nya lagförslag.

6.5.2. Inspektioner

Goda kunskaper i samhället om lagstiftning och teknik m.m. som rör behandling av personuppgifter är inte tillräckligt för att upprätthålla skyddet för den personliga integriteten. Det krävs också en omfattande och noggrann kontroll av att reglerna verkligen efterlevs. Sålunda vilar

personuppgiftslagen på att det finns en tillsynsmyndighet med långtgående befogenheter.

I inspektionsverksamheten kan man direkt påpeka de brister som finns och undanröja risker för intrång i den personliga integriteten. Inspektionsverksamheten kan också ge uppslag till vilka frågor eller områden som särskilt bör uppmärksammas och bli föremål för ytterligare informationsinsatser.

I inspektionsverksamheten ingår också myndighetens möjligheter till rättsliga ingripanden. Att den som behandlar personuppgifter i strid mot gällande regler kan drabbas av påföljd främjar regelefterlevnaden och är viktigt för allmänhetens förtroende för systemet.

6.5.3. Självreglering/Egentillsyn

Som uttalades inledningsvis i detta kapitel är integritetsskyddet inte bara en uppgift för Datainspektionen. Det är viktigt att man samlar och aktiverar alla goda krafter i samhället i arbetet för att skydda den personliga integriteten vid behandling av personuppgifter.

Personuppgiftsombud och i viss mån revisorer med särskilda kunskaper om behandling av personuppgifter kan i enlighet med personuppgiftslagens intentioner användas som en kraftfull resurs såväl vad gäller informationsspridning som i kontrollen av skyddet för den personliga integriteten. Härigenom ökas medvetenheten om integritetsfrågor ute på fältet, vilket Datainspektionen kan dra stor nytta av i sin verksamhet.

Ett större ansvar för integritetsskyddet kan vidare åstadkommas genom att det utarbetas regler och metoder för egenkontroll inom olika områden. Här har Datainspektionen en uppgift som anknyter till dess regelgivning, nämligen att uppmuntra att branschöverenskommelser och andra former av självreglering utarbetas. Utmärkta tillfällen att väcka frågor om självreglering och egenkontroll har Datainspektionen i samband med att myndigheten utför inspektioner. Därvid kan inspektionen uppmärksamma behovet och bedöma lämpligheten av självreglering.

Väl fungerande självreglering och branschöverenskommelser har stora förutsättningar att på ett framgångsrikt sätt uppfylla syftet med lagstiftningen, nämligen att skydda människor mot kränkning av den personliga integriteten utan att en effektiv användning av ny teknik hindras. Självreglering har bl.a. den fördelen att reglerna betydligt lättare än traditionell lagstiftning kan anpassas till den snabba tekniska utvecklingen inom IT-området. När bestämmelserna utformas i samverkan mellan berörda parter och ansvarig myndighet finns goda

förutsättningar för att självreglering skall fungera och att reglerna skall respekteras. Självreglering behandlas vidare i kapitel 11.

6.5.4. Teknikutvecklingen

Utvecklingen inom informationstekniken har gått mycket fort under de senaste årtiondena, och inget talar för att den kommer att avta inom den närmaste framtiden. Tvärtom blir tekniken allt kraftfullare, enklare och mer tillgänglig för ett allt större antal människor och den tillämpas i dag inom snart sagt varje område i samhället. De möjligheter tekniken medför att behandla och bearbeta stora mängder personanknutna uppgifter har satt integritetsfrågorna i fokus. Genom konventioner och lagstiftning har man därför försökt åstadkomma ett skydd för den personliga integriteten genom att begränsa möjligheterna att behandla personuppgifter.

Men den tekniska utvecklingen utgör inte bara ett hot mot den personliga integriteten. I takt med nya tekniska landvinningar som innebär att personlig information behandlas på något sätt har också tekniska lösningar för att i samband härmed skydda den personliga integriteten växt fram. Man kan säga att ju större hotet mot integriteten framstår, desto större är ambitionen att finna tekniska lösningar till skydd för densamma. Den tekniska utvecklingen för således även med sig metoder som stärker skyddet för den personliga integriteten.

Det finns en tendens i dagens informationssamhälle att rättsliga överväganden för att lösa olika former av integritetsproblem i allt större utsträckning ersätts av tekniska lösningar. Det är viktigt att man på bästa möjliga sätt utnyttjar de tekniska landvinningar som görs inom informationstekniken för att skydda den personliga integriteten. Datainspektionens ansvar att följa teknikutvecklingen behandlas i kapitel 12.

7. Datainspektionens framtida verksamhetsinriktning

Datainspektionens verksamhet som tillsynsmyndighet skall inriktas på två huvudområden: Information och Inspektion (jfr. bilaga 5). Myndigheten skall verka för att människor i Sverige skyddas mot att deras personliga integritet kränks genom att lämna information om personuppgiftslagen och ge rådgivning i integritetsfrågor samt utföra inspektioner för att kontrollera att personuppgiftslagen och annan integritetsskyddslagstiftning efterlevs.

Datainspektionen skall kännetecknas av kompetens, effektivitet och service. Myndigheten skall vara aktiv, utåtriktad och deltaga i samhällsdebatten i frågor som rör personlig integritet.

Datainspektionen skall vara välkänd för allmänheten och uppfattas som en kraftfull resurs för alla människor i Sverige.

7.1. Utredningens uppdrag

Utredningen skall särskilt överväga vilka konsekvenser den nya lagstiftningen i form av personuppgiftslagen och den snabba utvecklingen inom informationsteknikens område bör få för inriktningen och omfattningen av Datainspektionens verksamhet. Mot bakgrund härav beskriver utredningen i detta kapitel sina överväganden vad gäller Datainspektionens framtida verksamhetsinriktning.

I kapitlet beskrivs i första hand vilka uppgifter myndigheten enligt utredningens uppfattning särskilt skall koncentrera sina resurser på. Det kan härvid uppfattas som att utredningen inte tagit hänsyn till den faktiska utveckling av Datainspektionens verksamhet från tillståndshantering till tillsynsåtgärder som redan ägt rum. Så är dock inte fallet. Utredningen är väl medveten om de ansträngningar Datainspektionen har gjort även under datalagens tid för att t.ex. prioritera insatser som inspektion och information i sin verksamhet, och detta har också beskrivits tidigare i betänkandet.

I utredningens uppdrag ingår i och för sig att utvärdera hittillsvarande erfarenheter av tillsynsverksamheten. Utredningen har emellertid inte uppfattat det som sin uppgift att göra en granskning av verksamheten för att i detalj utröna vilka eventuella fel eller brister som förelegat. Utredningen har i stället sett det som sin uppgift att utifrån den lagstiftning som gäller och de förutsättningar som utvecklingen av informationssamhället erbjuder, dra upp de mer övergripande riktlinjerna för hur verksamheten bör utformas i framtiden.

Detta hindrar emellertid inte att utredningen ändå uppfattat det som nödvändigt att för regering och remissinstanser påpeka sådana förhållanden i Datainspektionens nuvarande verksamhet som vid utredningens granskning framstått som viktiga att fästa särskild uppmärksamhet på.

I föreliggande kapitel försöker utredningen således att beskriva en idealbild av den framtida dataskyddsmyndigheten i Sverige. Denna bild står inte i motsats till hur verksamheten bedrivs i dag utan är en beskrivning av hur verksamheten i framtiden bör utformas för att i så hög grad som möjligt uppfylla Datainspektionens uppgift att skydda människor från intrång i den personliga integriteten.

Datainspektionen har redan utvecklats i den riktning som utredningen framhåller som den mest fördelaktiga och kan i dag sägas uppfylla många av de krav som utredningen anser bör ställas på en modern dataskyddsmyndighet. Samtidigt bör det emellertid framhållas att det krävs förändringar i verksamheten för att Datainspektionen fullt ut skall motsvara den idealbild som utredningen har av den framtida dataskyddsmyndigheten.

Utredningen har inte sett det som sin uppgift att i detalj utforma hur Datainspektionens framtida verksamhet skall bedrivas. Det är en uppgift för regeringen och Datainspektionen att närmare bestämma förutsättningarna och utforma metoderna för detta.

Utredningen har i sin granskning inte funnit annat än att Datainspektionen i alla delar har uppfyllt det uppdrag som regeringen givit myndigheten. För att Datainspektionen skall ta ytterligare steg i riktning mot utredningens idealbild av myndigheten krävs nya incitament i verksamheten. Det är t.ex. av avgörande betydelse att regeringen ställer de återrapporteringskrav m.m. som kan medverka till att inspektionen utformas i önskvärd riktning. Det har mot bakgrund härav varit utredningens målsättning att de bedömningar och de förslag som lämnas i betänkandet skall kunna ligga till grund för de framtida regleringsbrev i vilka regeringen ges möjlighet att styra Datainspektionens verksamhetsinriktning.

Det är Datainspektionen själv, med insikt i problem och förutsättningar, som bäst kan utforma den strategi för verksamheten som i praktiken kan uppfylla de mål som riksdag och regering ställer upp för

verksamheten. Det är också en uppgift för Datainspektionen att på eget initiativ ständigt analysera hur verksamheten kan effektiviseras och bedrivas så ändamålsenligt som möjligt. Datainspektionen måste också sätta upp egna mål för sin verksamhet och utarbeta de metoder som skall användas för att uppnå målen.

Oavsett det ansvar som utredningen anser åvila statsmakterna och Datainspektionen själv känner utredningen såväl en viss frihet som en skyldighet att uttala sig om de mål som bör ställas upp för inspektionens framtida verksamhet och vilken strategi som bör användas för att uppnå dessa.

Mot bakgrund härav beskriver utredningen i det följande Datainspektionens framtida verksamhetsinriktning.

7.2. Från tillstånd till tillsyn

Som framkommit tidigare i betänkandet var utgångspunkten för integritetsskyddet enligt datalagen att Datainspektionen skulle pröva om tillstånd till inrättande och förande av ett personregister kunde beviljas. Datalagen innehöll från början ett generellt krav på tillstånd från Datainspektionen för alla typer av personregister förda med hjälp av automatisk databehandling (ADB).

Tillståndsprövningen enligt datalagen avsåg prövning av frågan om otillbörligt intrång i de registrerades personliga integritet kunde befaras uppkomma. Beviljades tillstånd meddelade Datainspektionen samtidigt beslut om ändamålet med registret. I den mån det behövdes för att förebygga risk för otillbörligt intrång i personlig integritet kunde även ett eller flera villkor meddelas, och om särskilda skäl förelåg fick tillståndet begränsas till viss tid.

Frågan om tillståndstvång för alla register var emellertid redan vid datalagens tillkomst föremål för diskussion. En förprövning genom tillståndskrav medförde obestridliga fördelar ur integritetssynvinkel, men innebar också en byråkratisk belastning på de registeransvariga samtidigt som Datainspektionen måste lägga ned mycket arbete på tillståndsprövning. För Datainspektionens del innebar det att mycket resurser togs från vad som redan då uppfattades som viktigt, nämligen tillsynsverksamheten.

Dessa förhållanden ledde fram till en rad förändringar av datalagstiftningen som alla hade sin utgångspunkt i uppfattningen att det i flertalet fall fanns goda möjligheter att sörja för skyddet för den personliga integriteten på ett annat och bättre sätt än genom att upprätthålla ett tillståndstvång.

Genom tillståndsförfarandets upphörande skulle Datainspektionen få möjlighet att effektivisera sin tillsynsverksamhet och genom generella föreskrifter, allmänna råd och information stärka skyddet för den enskildes integritet inom olika områden i samhället.

Datainspektionen framhöll att det förelåg ett betydande intresse bland de registeransvariga inom olika sektorer att organisera sitt ADBstöd så att otillbörliga intrång i personlig integritet undveks. Enligt Datainspektionen betydde de insatser myndigheten kunde göra för att tillgodose krav och förväntningar från de registeransvariga på råd och information mer för skyddet för den personliga integriteten än det tillståndstvång som band inspektionens resurser.

Genom personuppgiftslagen har Datainspektionen blivit av med huvuddelen av de uppgifter som tidigare hindrade myndigheten från att med all kraft ägna sig åt tillsynsverksamhet. Personuppgiftslagen skiljer sig från datalagen bl.a. på så sätt att det direkt i lagen uttömmande anges i vilka fall och under vilka förutsättningar personuppgifter får behandlas.

Detta innebär att det är den personuppgiftsansvarige själv som i första hand, utan föregående prövning från Datainspektionen, ansvarar för att behandlingen av personuppgifter är korrekt och i enlighet med lagens regler. Den personuppgiftsansvarige kan därutöver förordna ett personuppgiftsombud som självständigt skall se till att personuppgifter behandlas på ett korrekt sätt. Det är mot denna bakgrund Datainspektionens uppgift enligt personuppgiftslagen skall ses. Ansvaret för integritetsskyddet har decentraliserats genom att tillstånds- och licensförfarandet har försvunnit. Denna metod för integritetsskydd har för Datainspektionens del ersatts av tillsyn och myndigheten är numera en i det närmaste renodlad tillsynsmyndighet som har långtgående befogenheter att övervaka tillämpningen av bestämmelserna.

Utvecklingen från datalagen till personuppgiftslagen har följaktligen för Datainspektionen inneburit att myndighetens verksamhetsinriktning förskjutits från tillstånd till tillsyn.

7.2.1. Begreppet tillsyn i Datainspektionens framtida verksamhet

Datainspektionens tillvaratagande av integritetsskyddet har, som nämnts, i och med personuppgiftslagen ändrats från en förhandsprövning genom krav på tillstånd till en efterhandskontroll genom myndighetens tillsyn. Genom att tillståndsförfarandet och licenssystemet som gällde enligt datalagen numera helt har upphört föreligger således de eftersträvade förutsättningarna för Datainspektionen

att renodla sin verksamhet och koncentrera sig på de direkta tillsynsuppgifterna.

Det finns mot bakgrund härav anledning att närmare studera begreppet tillsyn för att något klargöra vilka uppgifter det är som omfattas av begreppet och vad som avses med en renodlad tillsynsmyndighet. I det följande ges därför en beskrivning av hur utredningen vill definiera begreppet tillsyn med avseende på Datainspektionens framtida verksamhetsinriktning.

Det förekommer inte någon enhetlig och allmängiltig definition av begreppet tillsyn. Inom den statliga förvaltningen finns en rad olika myndigheter med skiftande verksamhetsinriktning som alla i större eller mindre utsträckning hänförs till tillsynsmyndigheter och som i någon form utövar tillsyn. Begreppet tillsyn används också i ett stort antal lagar, förordningar och föreskrifter. En sammanställning av de myndighetsuppgifter som kan anses ingå i tillsynsarbetet kan delas in i följande kategorier: N&#3; Föreskriftsarbete N&#3; Inspektion N&#3; Samordning av tillsynsarbete N&#3; Kontroll av regelefterlevnad N&#3; Åtgärder för rättelse av lagöverträdelser N&#3; Tillståndsprövning N&#3; Information och rådgivning N&#3; Arbete med tillsynsobjektens egenkontroll

Även om begreppet tillsyn omfattar en rad olika myndighetsuppgifter har uppgifterna ett gemensamt ändamål. Samtliga uppgifter syftar i större eller mindre utsträckning till att åstadkomma regelefterlevnad i verksamhet som utförs av andra. Mot bakgrund härav kan man säga att alla de uppgifter myndigheten utför och som syftar till att gällande regler följs inom något område utgör tillsyn.

En effektiv och oberoende tillsyn utgör en viktig demokratisk förutsättning i vårt samhälle, eftersom den syftar till att garantera likabehandling och rättssäkerhet; allmänheten skall kunna lita på att samhällets regler efterlevs.

I Statskontorets rapport (2001:14) En till syn på tillsyn – hur svenska tillsynsmyndigheter påverkats av EU framkommer att de flesta myndigheter har en vid definition av begreppet tillsyn. Tillsyn anses innefatta allt från hård kontroll och inspektion med sanktionsmöjligheter till mjuka insatser som information och vägledning.

Datainspektionen har tidigare, i enlighet med 15 § datalagen, definierat tillsyn som allt Datainspektionen gör eller kan göra för att se

till att automatisk databehandling inte medför otillbörligt intrång i personlig integritet.1

De olika åtgärder som Datainspektionen utför för att åstadkomma regelefterlevnad, och som alla omfattas av begreppet tillsyn enligt ovan, kan delas in i tre huvudkategorier. Först talar myndigheten om hur de som omfattas av tillsynen skall agera, sen kontrolleras om utövarna följer reglerna och sist görs rättsliga ingripanden mot de som inte följer reglerna. Utredningen har valt att kalla det information, inspektion och ingripande.

Information, inspektion och ingripande

Datainspektionen skall enligt sin instruktion särskilt inrikta sin verksamhet på att informera om gällande regler samt ge råd och hjälp åt personuppgiftsombud enligt personuppgiftslagen. Detta sker genom allmän information om regelsystemet, rådgivning i konkreta situationer och särskild regelgivning i form av föreskrifter och allmänna råd.

Datainspektionen är tillsynsmyndighet enligt främst personuppgiftslagen. Ofta används begreppet ”tillsyn” för de direkta åtgärder som innebär inspektion och kontroll av regelefterlevnaden. Utredningen använder hellre ordet ”inspektion”, eftersom det är fråga om en tillsynsåtgärd som i strikt mening kan sägas omfatta endast undersökning av förhållandena hos tillsynsobjektet. På så sätt skiljer man också åtgärden från andra tillsynsinsatser som även de syftar till att främja regelefterlevnaden hos tillsynsobjektet.

Enligt personuppgiftslagen har Datainspektionen en rad befogenheter för att kunna kontrollera lagens regelefterlevnad och ingripa i syfte att åstadkomma rättelse vid felaktiga behandlingar. Inspektionen kan under vissa förutsättningar vid vite förbjuda en personuppgiftsansvarig att behandla personuppgifter på andra sätt än att lagra dem. Datainspektionen kan även hos Länsrätten i Stockholms län ansöka om att personuppgifter som behandlas på ett olagligt sätt skall utplånas.

En renodlad tillsynsmyndighet

Utredningens definition av begreppet tillsyn med avseende på Datainspektionens framtida verksamhetsinriktning innefattar således samtliga de åtgärder myndigheten vidtar i syfte att säkerställa en god regelefterlevnad och att lagstiftarens målsättning med lagstiftningen uppfylls. Datainspektionens huvudsakliga uppgifter – information och

1 Datainspektionen, ”Effektiv tillsyn” s. 7.

inspektion – faller således båda inom begreppet tillsyn och utmärker Datainspektionen som en renodlad tillsynsmyndighet.

När det i fortsättningen talas om tillsyn avses således inspektionens verksamhet i sin helhet, såväl infomations- som inspektionsinsatser, om inte annat särskilt anges.

7.3. Information och inspektion

Datainspektionens verksamhet skall enligt utredningens mening inriktas på två huvudområden, Information och Inspektion. I första hand skall Datainspektionen arbeta med service åt medborgarna i form av information och rådgivning om integritetsskyddsfrågor i anknytning till personuppgiftslagen. I andra hand skall myndigheten utöva tillsyn över att reglerna efterlevs genom att utföra effektiva och ändamålsenliga inspektioner hos dem som behandlar personuppgifter i samhället.

Att det är på detta sätt Datainspektionens verksamhet som tillsynsmyndighet skall bedrivas anges också i förordningen (1998:1192) med instruktion för Datainspektionen. I första paragrafen sägs att inspektionen särskilt skall inrikta sin verksamhet på att informera om gällande regler samt ge råd och hjälp åt personuppgiftsombud enligt personuppgiftslagen. I andra paragrafen anges Datainspektionens övriga uppgifter som tillsynsmyndighet enligt framförallt personuppgiftslagen.

Detta går hand i hand med den utveckling av Datainspektionens verksamhet som ägt rum genom övergången från datalagen till personuppgiftslagen, dvs. från ett inledningsvis strikt tillståndsförfarande till en renodlad tillsyn.

Redan av formuleringarna och uppgifternas placering i förordningen framgår att Datainspektionen främst skall inrikta sin verksamhet på vad som kan kallas serviceåtgärder. Skyddet för den personliga integriteten skall i första hand främjas genom information och rådgivning om integritetsfrågor i allmänhet och personuppgiftslagen och anknytande integritetsskyddsregler i synnerhet. Ju bättre den allmänna kunskapen om dessa frågor är desto mindre risk för intrång i den personliga integriteten.

Dessa uppgifter ställer naturligtvis stora krav på Datainspektionen. Myndigheten måste därför vara effektiv och besitta en hög kompetens inom alla områden som omfattas av dess ansvar.

Som framhållits inledningsvis i detta avsnitt finns redan i dag en inriktning mot information och inspektion i Datainspektionen verksamhet. Inriktningen på dessa verksamheter bör emellertid bli tydligare och de bör i större utsträckning prioriteras framför övriga uppgifter.

7.3.1. Information

Att höja det allmänna medvetandet och kunskaperna om alla frågor som rör integritetsskydd i samband med behandling av personuppgifter är enligt utredningens mening fundamentalt i strävan att uppnå målsättningen med Datainspektionens verksamhet. De förebyggande åtgärderna är grunden för ett gott integritetsskydd och av stor betydelse för framgång vad gäller Datainspektionens övriga uppgifter och verksamhetsområden.

Det gäller här även att göra verksamheten och Datainspektionens roll som central förvaltningsmyndighet med uppgift att värna om skyddet för den personliga integriteten välkänd för allmänheten. Datainspektionen skall också vara ledande i den allmänna debatten som rör integritetsfrågor.

Öka medvetenheten om integritetsfrågor i samhället

De som berörs av behandlingar av personuppgifter, såväl personuppgiftsansvariga som registrerade, måste göras uppmärksamma på relevanta frågeställningar och hur man skall handskas med de problem som kan förekomma.

De måste göras medvetna om sina rättigheter och skyldigheter; de personuppgiftsansvariga för att de skall följa regler och behandla personuppgifter korrekt och enligt god sed, utan intrång i någon enskild persons integritet och de registrerade för att de skall kunna tillvarata sina rättigheter och ställa berättigade krav på att de som behandlar personuppgifter gör så med iakttagande av skyddet för den personliga integriteten.

Datainspektionen – en servicemyndighet

Den tekniska utvecklingen har under lång tid ökat möjligheterna att behandla personuppgifter. Denna utveckling kommer inte att avta, tvärtom finns det mycket starka skäl att tro att den kommer att fortsätta i allt snabbare takt. Med allt mer omfattande behandling av personuppgifter och ökad kunskap i frågor som har med detta och skyddet för den personliga integriteten att göra, kommer området att uppfattas som mer näraliggande och allt viktigare för den enskilde. Datainspektionens verksamhet kommer härmed att få allt större betydelse och dess funktion att uppmärksammas allt mer. Det är därför viktigt att inspektionen på ett tydligt sätt intar sin roll som servicemyndighet och som en resurs för alla människor i Sverige.

Som servicemyndighet åt människorna i Sverige måste Datainspektionen göras välkänd och det måste betonas att myndigheten verkligen är till för att tillvarata den enskilde individens intressen i informationssamhället.

Det är enligt utredningens mening viktigt att Datainspektionen med tydlighet framstår som en integritets- eller dataombudsman. Inspektionen skall fungera som en allmänhetens klagomur, välkänd för alla, dit man kan vända sig när man upplever sig ha blivit felaktigt behandlad eller bara behöver råd och information i frågor som rör integritet och behandling av personuppgifter. Datainspektionen skall för alla och envar framstå som den myndighet vilken i informationssamhället värnar om den enskilde individens rättigheter och tar tillvara skyddet för den personliga integriteten.

Datainspektionen – en opinionsbildare

Trots att behandlingen av personuppgifter sedan länge varit mycket omfattande i samhället har frågor som rör integritetsskyddet i samband härmed ännu inte fått den uppmärksamhet i Sverige som man kunnat förvänta sig. Inte heller har kunskap om den nya personuppgiftslagen och dess syften nått allmän spridning. Det senare kan i viss mån förklaras av att en stor del av behandlingen av personuppgifter i det längsta skett enligt datalagens regler.

Av stor vikt för Datainspektionen är att göra frågor som rör integritetsskyddet uppmärksammade i samhället och att öka kunskapen om personuppgiftslagen. För att åstadkomma detta måste inspektionen vara aktiv och deltaga på ett ledande och främjande sätt i den allmänna debatten i alla frågor som rör personuppgifter och skyddet för den personliga integriteten. Datainspektionen skall kännetecknas av öppenhet och debattvilja och måste därför gripa alla tillfällen som ges att förekomma i massmedia.

För att öka allmänhetens och de personuppgiftsansvarigas intresse för integritetsfrågor är det viktigt att föra ut budskapet om personuppgiftshanteringens risker och möjligheter samt om vilka rättigheter och skyldigheter som föreligger. Integritetsdebatten i Sverige måste enligt utredningens mening hållas vid liv. De resurser som satsas på detta kommer att ge god utdelning i form av mer medvetna och observanta medborgare och personuppgiftsansvariga, och i förlängningen ett bättre skydd för den personliga integriteten.

Möjligen har Datainspektionen i allt för stor utsträckning fungerat som domstolar av tradition många gånger gör, nämligen ligger lågt i debatten och låter det skrivna ordet tala för sig. Detta kan bero på att

majoriteten av Datainspektionens personal är jurister och att många har domstolsbakgrund. Datainspektionen måste emellertid våga ”ta ut svängarna” och göra allt för att föra ut sitt budskap.

Detta väcker frågan om en styrelse med fullt ansvar, i vilken generaldirektören inte är ordförande, bättre kan utföra uppgiften att agera aktivt i samhällsdebatten i frågor som rör behandling av personuppgifter och den personliga integriteten. Enligt utredningens uppfattning är emellertid en sådan förändring av myndighetens ledning inte nödvändig. Det finns ingen påtaglig konflikt i att Datainspektionen kombinerar sin myndighetsutövning i form av inspektioner och ingripanden, samt yttranden till domstol i t.ex. mål enligt personuppgiftslagen, med ett aktivt deltagande i den offentliga debatten. Dessutom är risken för en eventuell konflikt mindre nu, i och med att tillståndshanteringen har upphört.

I Sverige, som har en stark tradition av offentlighet inom den allmänna förvaltningen, är kravet från framför allt massmedia på maximal öppenhet med all rätt grundmurat. Medierna har ur eget perspektiv ett betydligt större intresse av en fri tillgång till personuppgifter än av inskränkningar i tillgången på grund av integritetsskäl. Eftersom skyddet för den personliga integriteten många gånger innebär begränsningar i tillgängligheten av personuppgifter, är det vanligt att Datainspektionen i medierna oförtjänt framställs som myndigheten som hindrar den fria debatten. Ibland har det till och med talats om censur. Skyddet av personen kommer i konflikt med offentlighetsprincipen.

Patricia Jonasson Blanc-Gonnet, som har doktorerat på skillnaden mellan svensk och fransk datarätt vid Université Val de Marne i Paris, bekräftar att Datainspektionen arbetar i motvind, i jämförelse med sin franska motsvarighet.2 De franska medierna har stor makt och de är mycket mer inriktade på personvärn än de svenska. Den franska dataskyddsmyndigheten är mediernas hjälte, medan tidningarna i Sverige mest skriver om öppenhet och utmålar Datainspektionen som boven som lägger hinder i vägen. I grunden ligger dock kulturella skillnader; integriteten är enligt Patricia Jonasson Blanc-Gonnet viktigare i Frankrike än i Sverige.3

I flera sammanhang när personuppgiftslagens tillämpning på främst Internet har behandlats i media har lagen, och Datainspektionen som tillsynsmyndighet, beskrivits i negativa ordalag. Detta kan motverka Datainspektionens verksamhet och är ett problem som måste åtgärdas. För en myndighet med en uttalad uppgift att värna om den enskilde

2 ”Integritetsskydd och offentlighetsprincip i IT-eran, en jämförelse av fransk, svensk och europeisk rätt”. 3 magazin DIrekt 2/2001 s. 2.

individen och fungera som ett serviceorgan, är det en grundläggande förutsättning för framgång i verksamheten att myndigheten har förtroende och respekt hos såväl allmänheten som massmedia. Om Datainspektionen bidrar till att skapa en positiv bild av syftet med sin verksamhet är det utredningens övertygelse att ett sådant förtroende kan skapas.

Personuppgiftslagen är en svårtillgänglig lagstiftning och det har uppkommit många missförstånd i samband med dess tillämpning. Det har också från många håll framförts att Datainspektionen varit otydlig i detta sammanhang. Datainspektionen har därför en viktig uppgift att förklara lagen för allmänheten och detta bör avspegla sig i Datainspektionens framtida verksamhetsinriktning.

7.3.2. Regelgivning

I Datainspektionens informationsuppgift ingår också att meddela generella föreskrifter och allmänna råd om tillämpningen av personuppgiftslagen och att avge remissyttranden över förslag till ny lagstiftning som påverkar integritetsskyddet. Detta är av flera skäl en viktig uppgift för Datainspektionen och även den kräver att inspektionen deltar i samhällsdebatten i frågor som rör informationsteknik, personuppgifter och skyddet för den personliga integriteten.

Att användningen av personuppgifter regleras och begränsas är en förutsättning för att skydda den personliga integriteten. Vilken reglering och begränsning som då är nödvändig för att skydda den personliga integriteten är till stora delar beroende av rådande värderingar i samhället. Sådan användning som enligt dessa värderingar framstår som otillbörliga intrång i annans personliga integritet skall, enligt Datalagskommittén, så långt som möjligt förebyggas.4 Utredningen ställer sig givetvis bakom denna bedömning.

I förarbetena till personuppgiftslagen motiverades närmare varför regeringen eller den myndighet som regeringen bestämmer skall bemyndigas att meddela föreskrifter. Här framhålls att reglerna i personuppgiftslagen är generella och behöver preciseras, att dataskyddsdirektivet innehåller en hel del detaljregler som det skulle vara olämpligt att tynga lagtexten med samt att direktivet medger att det under vissa förutsättningar görs undantag från vissa regler. Dataskyddsdirektivet kräver dessutom att Sverige säkerställer att särskilt integritetskänsliga behandlingar av personuppgifter kontrolleras och att det bestäms vilka behandlingar som skall förhandskontrolleras. De

4SOU 1997:39 s. 180.

generella principer som personuppgiftslagen innehåller och som bygger på dataskyddsdirektivet är tämligen beständiga, medan behov av närmare preciseringar och undantag av naturliga skäl kommer att växla över tiden och kan uppkomma hastigt. Detta beror bl.a. på den snabba tekniska utvecklingen, framväxten av nya, i dag oförutsägbara sätt att samla in och utnyttja personuppgifter och värderingsförändringar. En ordning som innebär att varje liten justering i det kompletterande regelverket kräver en sedvanlig lagstiftningsprocess framstår därför som onödigt omständlig och ohanterlig. Det finns alltså ett behov av att delegera normgivningskompetensen på området.5

Lagstiftarens avsikt med att delegera normgivningskompetens är följaktligen att såväl de risker och möjligheter den tekniska utvecklingen för med sig som rådande värderingar om vilka skyddsvärda intressen som skall iakttas vid behandling av personuppgifter, skall beaktas av Datainspektionen vid utformningen av föreskrifter och allmänna råd. Även denna uppgift ställer således krav på inspektionen att aktivt informera sig i teknikfrågor och att delta i samhällsdebatten i frågor som rör informationsteknik och skyddet för den personliga integriteten vid behandling av personuppgifter för att utröna vilka värderingar som råder.

Det skall dock i och för sig beaktas att personuppgiftslagen ger Datainspektionen mindre utrymme för självständiga uppfattningar än datalagen som byggde på att i första hand inspektionen mer eller mindre självständigt skulle bestämma för vilka ändamål personregistrering fick ske och vilka villkor som skulle gälla för registreringen. Personuppgiftslagen innehåller fler materiella regler än datalagen och ställer upp en ram inom vilken den kompletterande regleringen måste hålla sig. Mer finns alltså reglerat i lag enligt personuppgiftslagen än vad som var fallet enligt datalagen.6

Datainspektionen har tidigare själv framhållit betydelsen av normgivning för att effektivisera inspektionens verksamhet och för att värna om skyddet för den personliga integriteten. Genom Datainspektionens möjligheter att t.ex. meddela föreskrifter om undantag från skyldigheten att anmäla behandling av personuppgifter kan inspektionen effektivisera sin verksamhet och ägna mindre ansträngningar åt sådant som är tämligen ofarligt från integritetssynpunkt och i stället koncentrera sina resurser till det viktiga inspektionsarbetet.

Här bör förutom Datainspektionens möjlighet att meddela föreskrifter och allmänna råd särskilt framhållas myndighetens uppgift att stimulera till olika former av självreglering. I ett system med ett

5Prop. 1997/98:44 s. 56 f. 6Prop. 1997/98:44 s. 57.

decentraliserat ansvar för integritetsskyddet är det mycket värdefullt med tillsynsmyndighetens medverkan vid utformningen av bl.a. branschöverenskommelser. Härigenom kan Datainspektionen tydliggöra de problem som är aktuella inom olika områden och undanröja risker för intrång i den personliga integriteten vid vissa typer av behandlingar av personuppgifter. Förutom att myndigheten kan se till att branschöverenskommelserna uppfyller vissa kvalitetskrav medför dess medverkan vid utformningen av regleringen dessutom förtroende hos allmänheten. Att branscher och andra organisationer tar ett sådant eget ansvar för skyddet för den personliga integriteten ger vidare Datainspektionen förutsättningar för att effektivisera sin verksamhet genom att myndigheten kan koncentrera sina insatser till de behandlingar av personuppgifter där störst risk för otillbörligt intrång föreligger. I kapitel 11 tar utredningen upp behovet av självreglering närmare.

Till regelgivning kan man hänföra ytterligare en uppgift för Datainspektionen, nämligen rollen som remissinstans. Inspektionens möjlighet att lämna synpunkter på utredningsbetänkanden och förslag från regeringen, som rör integritetsfrågor, är av betydelse för att sådana frågor skall beaktas fullt ut.

Det har ett särskilt värde att Datainspektionen kan komma in på ett tidigt stadium och påverka lagstiftningen. Denna uppgift måste emellertid hållas inom rimliga gränser så att den inte tar för stora resurser från vad som är den egentliga kärnverksamheten för inspektionen, jfr. bilaga 5. I detta sammanhang kan nämnas ändringen av 2 a § datalagen, genom vilken skyldigheten att begära Datainspektionens yttrande inför inrättandet av personregister som beslutas av riksdag eller regering avskaffades. Ändamålet med ändringen var bl.a. att minska Datainspektionens arbetsbörda med remisser.7 Enligt utredningens mening skall Datainspektionen, såvitt avser kontakterna med Regeringskansliet, i första hand fungera som remissinstans.

Utredningens erfarenhet är att Regeringskansliet i dag använder myndigheten i större utsträckning än att bara vara regeringens remissinstans. Datainspektionen fungerar även i viss utsträckning som en resurs åt bl.a. Justitiedepartementet när det gäller lagstiftningsfrågor och internationellt arbete vid sidan av det som regeringen ålagt inspektionen att utföra. Utredningen är medveten om att Datainspektionens medverkan i dessa sammanhang fyller en funktion, dels när det gäller att uppmärksamma integritetsskyddet i samband med lagstiftning dels för att myndigheten skall kunna följa med i utvecklingen. Data-

7 SFS 1994:1485, Prop. 1993/94:217 s. 22 f.

inspektionens medverkan såvitt nu är i fråga får dock enligt utredningens mening inte inskränka myndighetens möjligheter att bedriva en effektiv och ändamålsenlig informations- och inspektionsverksamhet.

7.3.3. Inspektion

Enbart information, innefattande rådgivning och regelgivning, är inte tillräckligt för att uppnå ett fullgott skydd för den personliga integriteten. Informationen måste kompletteras med en tillsynsfunktion med långtgående befogenheter för att övervaka tillämpningen av gällande bestämmelser.

Genom inspektioner kan Datainspektionen på ett konkret och grundligt sätt göra en översyn av nivån på integritetsskyddet vid behandling av personuppgifter och kontrollera att reglerna efterlevs. Vetskapen om att man kan bli utsatt för inspektion och att en sådan kan leda till rättsliga ingripanden av olika slag, medför ytterligare ett viktigt incitament för de personuppgiftsansvariga att behandla personuppgifter lagligt, korrekt och enligt god sed.

Det har allt sedan Datainspektionen inrättades förutsatts att inspektioner hos de personuppgiftsansvariga är vad som bäst främjar skyddet för den personliga integriteten. Utredningen delar denna uppfattning. Det är därför mycket viktigt att Datainspektionen utför fler och allt effektivare inspektioner av behandlingen av personuppgifter i samhället. En mycket stor del av Datainspektionens resurser bör användas till inspektionsverksamheten.

I bilaga 3 redovisas den totala tid Datainspektionen lagt ned på inspektioner inom samtliga sina ansvarsområden under perioden 1 juli 2000 till 1 juli 2001. Av bilagan framgår att Datainspektionen totalt lagt ned 8 531 timmar på sin inspektionsverksamhet. Med en normal årsarbetstid om 1 600 timmar motsvarar detta 5,3 årsarbetskrafter. Datainspektionen räknar med en produktiv tid på 75 procent per anställd, vilket motsvarar 1 200 arbetstimmar per år eller att totalt 7,1 årsarbetskrafter ägnats åt inspektionsverksamhet. Oavsett hur man räknar ägnar myndigheten enligt utredningens mening allt för små resurser åt inspektioner, särskilt som tillsyns- och tillståndsenheten har omkring 18 personer knutna till sig. Speciellt anmärkningsvärt är att endast en halv årsarbetskraft lagts ned på fältinspektioner enligt personuppgiftslagen och datalagen.

Datainspektionen förklarar det låga antalet inspektioner med att det under perioden har varit stora problem med sjukdomar och att personal slutat, särskilt under våren 2001. Enligt inspektionen arbetade i snitt

endast 10,2 personer på tillsyns- och tillståndsenheten under den aktuella perioden.

Genom en effektiv inspektionsverksamhet kommer en betydelsefull insats att göras för integritetsskyddet i samhället. Myndigheten blir på så sätt en resurs för alla människor i Sverige. Enligt utredningens mening ger ovanstående beskrivning av hur mycket tid Datainspektionen lagt ned på inspektioner klart stöd för uppfattningen att Datainspektionen bör ägna mer resurser åt inspektionsverksamheten. Datainspektionens förklaring till det låga utfallet ger dessutom vid handen att den möjligheten föreligger inom ramen för den nuvarande verksamheten.

I uppställningen i bilaga 3 ingår såväl skrivbords- som fältinspektioner. Genomgående lägger Datainspektionen ner störst resurser på skrivbordsinspektioner. Som en jämförelse kan nämnas att under den aktuella perioden har 3 263 timmar ägnats åt skrivbordsinspektioner enligt personuppgiftslagen och datalagen men endast 602 timmar åt fältinspektioner enligt samma lagar. I tidsangivelsen för särskilda projekt skiljer Datainspektionen inte på skrivbordsinspektioner och fältinspektioner. Mot bakgrund av nämnda förhållanden vill utredningen framhålla betydelsen av att Datainspektionen i större utsträckning på plats hos de personuppgiftsansvariga kontrollerar behandlingen av personuppgifter. I direkt kontakt med de personuppgiftsansvariga kan Datainspektionen på ett konkret sätt påverka att behandlingen av personuppgifter sker korrekt och i enlighet med god sed och myndigheten kan utan dröjsmål undanröja oklarheter och missförstånd. Detta kan främja såväl effektiviteten i inspektionsverksamheten som den allmänna skyddsnivån för den personliga integriteten. I samband med fältinspektioner ges också tillfälle för myndigheten att hos olika organisationer väcka frågan om självreglering. Enligt utredningens uppfattning bör därför myndighetens klara strävan vara att öka andelen fältinspektioner i förhållande till skrivbordsinspektioner. Utredningen anser att väsentligt fler inspektioner borde kunna genomföras på plats hos personuppgiftsansvariga än vad som är fallet i dag.

Utredningen återkommer till frågan om en effektivisering av inspektionsverksamheten i kapitel 13 om Datainspektionens finansiering.

8. En effektiv och ändamålsenlig tillsynsverksamhet

Datainspektionens organisation skall vara anpassad till verksamhetsinriktningen på huvudområdena Information och Inspektion (jfr bilaga 5).

För att vara en effektiv myndighet krävs att personalen har en hög kompetens vad gäller integritetslagstiftning och informationsteknik. Med nuvarande arbetsuppgifter bör Datainspektionens resurser vad gäller antalet anställda initialt vara oförändrade. Med ett fullt utbyggt system med personuppgiftsombud bör emellertid Datainspektionens personalresurser på sikt kunna minska.

En tydlig målsättning och en genomtänkt strategi för hur målsättningen skall uppnås bör förankras hos hela personalen och läggas fast för verksamheten. Resultatet av verksamheten skall dokumenteras och på ett lämpligt sätt spridas.

En stor del av myndighetens resurser bör användas till att utföra inspektioner. En rimlig utgångspunkt är att minst en tredjedel av myndighetens personalresurser ägnas åt renodlad inspektionsverksamhet.

Personuppgiftsombuden bör i enlighet med personuppgiftslagens intentioner användas som en kraftfull resurs i såväl informations- som inspektionsverksamheten.

8.1. Samverkan mellan Datainspektionens två huvudområden – Information och Inspektion

Med utgångspunkt i syftet med Datainspektionens verksamhet kan en effektiv tillsyn beskrivas som åtgärder som med utnyttjande av minsta möjliga resurser höjer den totala nivån på integritetsskyddet i så stor utsträckning som möjligt.

Genom personuppgiftslagens ikraftträdande och det faktum att tillstånds- och licensförfarandet härigenom helt upphört, har

Datainspektionens verksamhet renodlats till att enbart avse typiska tillsynsuppgifter. Datainspektionens verksamhet skall inriktas på information om personuppgiftslagen och integritetsfrågor samt inspektion för att kontrollera att bl.a. personuppgiftslagens regler efterlevs.

I en effektiv och ändamålsenlig tillsynsverksamhet samverkar Datainspektionens två huvuduppgifter, information och inspektion, till att skapa en så hög regelefterlevnad och därmed ett så högt integritetsskydd som möjligt. Ju bättre Datainspektionen når ut med sin information och rådgivning om rättigheter och skyldigheter i samband med behandling av personuppgifter desto mindre fel bör myndigheten upptäcka vid sina inspektioner hos de personuppgiftsansvariga. I inspektionsverksamheten kan man på ett konkret sätt nå ut med olika informationsinsatser genom att i direkt anslutning till kontrollen informera om gällande regler och ge råd om hur behandlingen bör ske i praktiken för att vara korrekt och i enlighet med god sed.

8.2. Datainspektionens ansvarsområde

Datainspektionens verksamhet kännetecknas av att ansvarsområdet för dess tillsynsverksamhet är mycket omfattande. Inspektionen skall verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och myndigheten har som särskild uppgift att utöva tillsyn enligt personuppgiftslagen.

Personuppgiftslagen gäller främst för personuppgiftsansvariga som är etablerade i Sverige. Den kan emellertid också vara tillämplig när den personuppgiftsansvarige är etablerad i ett land utanför EU eller EES, om utrustning som finns i Sverige används för behandlingen av personuppgifter. Personuppgiftslagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad, men också för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Detta framgår av lagens 4 och 5 §§. Lagens tillämpningsområde är således väsentligt vidare än datalagens.

Behandling av personuppgifter omfattar varje åtgärd eller serie av åtgärder som vidtas med personuppgifter, oavsett om varje led sker på automatisk väg eller inte. Även om undantag görs för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur faller således all väsentlig behandling av personuppgifter varhelst den sker i landet inom Datainspektionens ansvarsområde. På så sätt omfattas i princip varje myndighet, företag

och organisation samt i många fall även privatpersoner av Datainspektionens tillsynsansvar.

Härigenom skiljer sig Datainspektionen från andra tillsynsmyndigheter. Vanligen har en tillsynsmyndighet ett mer begränsat ansvarsområde, såsom en viss sektor, bransch eller typ av verksamhet. Så är t.ex. Finansinspektionens ansvar begränsat till den finansiella marknadens kreditinstitut, värdepappersbolag och det enskilda försäkringsväsendet och Socialstyrelsens till kvalitet inom hälso- och sjukvård, smittskydd och socialtjänst. Datainspektionens ansvarsområde däremot är i det närmaste obegränsat. Detta innebär att antalet potentiella tillsynsobjekt, särskilt mot bakgrund av den allt större användningen av datorteknik i samhället, är mycket omfattande.

Datainspektionens ansvarsområde ställer naturligtvis särskilda krav på inspektionens verksamhet. En myndighet med ett så stort ansvarsområde och begränsade resurser måste vara effektiv för att kunna uppfylla målsättningen med verksamheten. Detta kräver i sin tur duktig personal med hög kompetens inom myndighetens alla områden, en ändamålsenlig organisation samt en utvecklad strategi för arbetets genomförande.

En viktig slutsats man kan dra av ett så omfattande tillsynsansvar är naturligtvis att allt inte kan kontrolleras. Detta innebär i sin tur att Datainspektionen måste prioritera hur resurserna skall användas. Resurserna måste koncentreras till det som är viktigast för att uppnå målen för verksamheten. Således måste man inrikta tillsynen mot i första hand de behandlingar som utgör störst hot mot den personliga integriteten.

Därutöver bör det enligt utredningens mening som ett led i myndighetens prioritering eftersträvas att ansvaret för skyddet för den personliga integriteten delegeras. Personuppgiftsombuden bör därför i största möjliga utsträckning utnyttjas som Datainspektionens förlängda arm. Datainspektionen måste vidare ta varje tillfälle i akt att uppmärksamma myndigheter, företag och organisationer på integritetsfrågor i samband med behandling av personuppgifter och i samband härmed stimulera initiativ till olika former av självreglering.

8.3. Personal med hög kompetens

Personuppgiftslagens regler är komplicerade och den tekniska utvecklingen med allt mer sofistikerade metoder att behandla personuppgifter går fort. Detta ställer naturligtvis stora krav på Datainspektionen och dess anställda. Inspektionen måste därför ha en personal som besitter en mycket hög kompetens.

Verksamheten kräver att personalen har goda juridiska kunskaper om integritetslagstiftning. Därutöver förutsätter verksamheten insikter i informationsteknik och informationssystem, särskilt med tonvikt på informationssäkerhet.

Datalagskommittén påpekade i sitt betänkande att de förändrade uppgifterna för Datainspektionen enligt personuppgiftslagen får anses mera krävande och kvalificerade än de uppgifter inspektionen utfört tidigare. En utökad tillsynsverksamhet och en i vart fall inledningsvis omfattande föreskriftsverksamhet ställer enligt kommittén andra och större krav på personalen och organisationen än en verksamhet som till stor del går ut på hantering enligt utarbetade mallar av inkomna ansökningar. Kommittén konstaterade samtidigt att det för en myndighet med tillsynsansvar som regel inte finns någon naturlig gräns beträffande behov av personal och övriga resurser; myndigheten har i allmänhet inga svårigheter att göra av med alla de pengar den får på tillsynsverksamheten. Enligt Datalagskommittén borde en personalstyrka på ungefär 40 personer ge Datainspektionen rimliga förutsättningar att klara uppgifterna med det föreslagna systemet. Däremot torde det krävas att kompetensnivån hos personalen höjs för att motsvara de ökade krav som det föreslagna systemet innebär.1

Även enligt utredningens uppfattning bör med nuvarande arbetsuppgifter Datainspektionens personalresurser initialt vara lika stora som i dag. Det är också inspektionens uppfattning att myndigheten har en väl anpassad personalstyrka för att lösa de uppgifter regeringen hittills givit inspektionen, även om det naturligtvis innebär att det måste ske vissa prioriteringar. Som en jämförelse kan nämnas att Riksdagens Ombudsmän (JO) har omkring 60 anställda. JO granskar statliga och kommunala myndigheter, domstolar och andra vars arbete innebär myndighetsutövning. Datainspektionen, som har ett mer omfattande tillsynsområde med ansvar för att kontrollera behandlingar av personuppgifter i hela samhället, bör enligt utredningens uppfattning med nuvarande arbetsuppgifter inte ha mindre personalresurser än vad som är fallet i dagsläget. Om Datainspektionen får ytterligare uppgifter utöver dagens, måste det givetvis övervägas om inte en ökning av personalstyrkan är nödvändig. Genomförs utredningens förslag att ansvaret enligt kreditupplysnings- och inkassolagarna förs över till Finansinspektionen (se kapitel 10), bör i detta sammanhang också beaktas att de personer som i dag ägnar sig åt dessa lagar (ca 2,5 årsarbetskrafter) i stället kan syssla med Datainspektionens verksamhet i övrigt.

1SOU 1997:39 s. 448 f.

Enligt utredningens uppfattning bör emellertid ett utbyggt system med personuppgiftsombud på sikt få till följd att Datainspektionens personal kan minska i antal. Personuppgiftsombud har att självständigt kontrollera att behandling av personuppgifter sker korrekt och i enlighet med god sed. Personuppgiftsombuden fungerar på så sätt som Datainspektionens förlängda arm och bör därmed kunna avlasta inspektionen och möjliggöra ytterligare prioriteringar i myndighetens verksamhet.

När det gäller personalens kompetens kan allmänt sägas att Datainspektionen redan företagit en successiv anpassning till de högre krav som personuppgiftslagen ställer i förhållande till datalagen. En stor del av juristpersonalen har domarkompetens eller juris kandidatexemen med notariemeritering. För att Datainspektionen skall lyckas uppfylla målsättningen med verksamheten krävs dock att inspektionen har möjlighet att behålla och, i den utsträckning det är nödvändigt, nyrekrytera kvalificerade jurister.

Det är emellertid viktigt att åter framhålla att Datainspektionen skall fungera som en utåtriktad myndighet och inte som en traditionell domstol. Myndigheten måste aktivt deltaga i samhällsdebatten och välvilligt ställa upp för massmedia. Både kortsiktigt och långsiktigt vinner myndigheten och integritetsskyddet på det.

Enligt instruktionen för Datainspektionen skall inspektionen följa och beskriva utvecklingen inom IT-området när det gäller frågor som rör integritet och ny teknik. Inspektionen behöver därför även av den anledningen ingående teknisk kompetens. Detta är ett område i ständig och mycket snabb förändring. Det går inte att kräva att Datainspektionen skall kunna ha en fullständig bevakning av utvecklingen inom hela det informationstekniska området. Datainspektionen måste dock ha en s.k. beställarkompetens. Det gäller med andra ord för Datainspektionen att veta när den egna kompetensen inte räcker till och när inspektionen således är tvungen att anlita externa resurser för att klara de uppgifter som inspektionen själv inte kan utföra på ett fullgott sätt. Vid behov bör alltså Datainspektionen köpa in konsulttjänster.

Inspektionen måste ha egen tillräcklig teknisk kompetens för att utföra sina tillsynsuppgifter på ett ändamålsenligt sätt, vilket främst innebär kunskaper om tekniska rutiner och säkerhetsåtgärder för att bedöma integritetsskyddet i samband med behandling av personuppgifter. Datainspektionen har i dag tre anställda, med olika bakgrund, som har teknisk kompetens. Inspektionen behöver fortlöpande förstärka sin kompetens vad gäller informationsteknik (se vidare kapitel 12).

Antalet anställda med teknisk kompetens bör vara fler än i dag. Enligt utredningens mening bör personal med särskild teknisk kompetens alltid deltaga vid myndighetens inspektioner på plats. Ett önskemål

är givetvis att en så stor del av de anställda som möjligt besitter såväl juridisk som teknisk kompetens.

Utöver kunskaper i juridik och informationsteknik behöver Datainspektionens personal särskild insikt i de olika sakområden och branscher inspektionen är satt att övervaka. Goda kunskaper hos personalen om tillsynsobjekten och deras verksamhet är en stor tillgång i framför allt inspektionsarbetet. Datainspektionens personals samlade kompetens skall vara en syntes av informationstekniskt kunnande, juridiskt kunnande och sakområdeskompetens.

8.4. Verksamhetsstrategi

Personuppgiftslagen medför som redan konstaterats stora förändringar av Datainspektionens verksamhet. Rollen som förhandskontrollerande tillståndsmyndighet har närmast försvunnit och verksamheten koncentreras i stället på information om de materiella reglerna samt inspektion av att reglerna följs. Datainspektionens nya verksamhetsinriktning som renodlad tillsynsmyndighet ställer naturligtvis krav på att man närmare ser över organisationen och arbetsmetoderna och hur arbetet med information och inspektion kan förbättras.

En sådan översyn bör utvisa hur Datainspektionen konkret kan förstärka tillsynen i olika avseenden, och kan leda till att man finner det nödvändigt att redan nu göra förändringar i arbetsformerna och organisationen. För att upprätthålla en god standard i tillsynsarbetet krävs emellertid dessutom att Datainspektionen fortlöpande ser över, utvecklar och anpassar verksamheten till rådande förhållanden.

För att åstadkomma en effektiv och ändamålsenlig tillsynsverksamhet måste myndigheten enligt utredningens uppfattning ha en förankrad och väl fungerande organisation och en utvecklad metod att arbeta efter, dvs. en hos personalen förankrad strategi som beskriver planering, genomförande, uppföljning och utvärdering av verksamheten. Viktigast är att man har konkreta mål att arbeta mot och att man noggrant kan utvärdera i vilken utsträckning man lyckats uppnå dessa mål. En välgrundad målsättning och en genomarbetad metod för genomförande och utvärdering av målsättningen främjar Datainspektionens tillsynsverksamhet.

Som tidigare framhållits är det inte utredningens avsikt att i betänkandet i detalj tala om hur Datainspektionen skall organisera sitt arbete. Mål och strategier för verksamheten skall utarbetas i samspel mellan regeringen och myndigheten. Utredningen vill med detta avsnitt i första hand framhålla betydelsen av att myndigheten utarbetar

ändamålsenliga strategier för sin verksamhet. Särskilt viktigt är detta med ett så omfattande ansvarsområde som Datainspektionen har.

8.4.1. Mål för verksamheten

Det är viktigt för en organisation att fastställa övergripande mål och visioner för verksamheten, lika viktigt är det att dra upp riktlinjer och strategier för hur dessa mål skall nås.

Om en vision eller verksamhetsidé fastställs kan detta utgöra en grund för att dra upp riktlinjer för hur målsättningen med verksamheten skall förverkligas. I detta arbete bör myndigheten utgå från den egna verksamheten och studera vilken styrka och vilka svagheter som organisationen har. Genom att göra en omvärldsanalys kan tänkbara möjligheter, hot och framtidsutsikter urskiljas. Utifrån denna analys kan sedan lämpliga strategier formuleras.

Oavsett utformningen av myndighetens strategi för verksamheten måste denna vara väl förankrad hos personalen för att maximal effektivitet skall kunna uppnås. En framgångsrik myndighetsverksamhet förutsätter att alla känner delaktighet och ansvar för organisationen man arbetar i. Arbetsmetoder och målsättningar bör därför utarbetas i samarbete mellan myndighetens olika enheter och med deltagande av samtliga personalkategorier. Alla medarbetare bör känna sig delaktiga i processen med att formulera mål och strategier.

Vid planering och formulering av mål för verksamheten bör man också vända sig utåt mot samhället för att ta in synpunkter från externa intressenter och avnämare, för att erhålla en koppling till hur effekterna blir ute i samhället av genomförd verksamhet.

Målstyrning bör karaktäriseras av att mätbara mål formuleras för verksamheten. Utfallet skall sedan kunna jämföras med uppsatta mål. För att målstyrningen skall kunna fungera tillfredsställande, krävs att antalet mål inte är allt för omfattande. Väsentliga områden bör identifieras och myndigheten bör prioritera och fokusera på kärnverksamheten. För Datainspektionens del gäller det att prioritera informations- och inspektionsverksamheten.

Den målsättning för Datainspektionen som hittills formulerats, främst i regleringsbrev, är att antalet inspektioner skall ligga på minst samma nivå som de två föregående åren. Det kan emellertid finnas flera nackdelar med en målsättning som inte är mer preciserad och som endast är inriktad på produktion. Det kan lätt bli kvantitet i stället för kvalitet. Många gånger kan det även saknas analys innan man går till handling. Framtidsperspektivet tappas liksom prioriteringar utifrån myndighetens roll och mål. Risk finns också att det brister i

uppföljning och utvärdering av olika projekt och insatser. Inspektionsverksamheten måste enligt utredningens uppfattning inriktas på de verksamheter där det föreligger störst risk för intrång i den personliga integriteten och där det behandlas stora mängder personuppgifter.

En ändamålsenlig verksamhetsstrategi bildar underlag för att kunna göra nödvändiga prioriteringar i verksamheten. En strategi för Datainspektionens tillsynsinsatser bör ha sin grund i den framtida verksamhetsinriktningen, och hur de två huvuduppgifterna information och inspektion skall samverka. Verksamhetsstrategin med visioner och mål bör bl.a. omfatta frågor som organisation, vilka riskområden tillsynen skall fokusera, vilka arbetsmetoder som skall användas, hur arbetet skall genomföras, verksamhetens omfattning, bemanning, m.m. Verksamhetsstrategin bör även innefatta organisationsutveckling, utveckling av relationer med omvärlden och personalutveckling.

Det behövs såväl långsiktiga som kortsiktiga mål för verksamheten. En långsiktig planering kan innebära att inspektionen ”arbetar sig igenom” olika statliga myndigheter, kommuner eller vissa utpekade branscher i näringslivet. Därutöver behövs naturligtvis även resurser för ”brandkårsutryckningar”, dvs. att man akut kan ta sig an de problem som dyker upp t.ex. via klagomål från allmänheten eller i massmedia.

Det är nödvändigt för Datainspektionen att göra prioriteringar i sin verksamhet. Med begränsade resurser och ett så omfattande ansvarsområde som innebär att man inte kan kontrollera allt, är det av stor vikt att myndigheten inriktar sina tillsynsinsatser på de områden och företeelser där de största riskerna för intrång i den personliga integriteten finns. Tillsynsverksamheten måste bl.a. fortlöpande kunna anpassas till utvecklingen inom informationstekniken och omfattningen och sättet för behandling av personuppgifter.

Tillsynen över behandling av personuppgifter skall vidare vara anpassad till såväl uppdragsgivarna som andra intressenters krav och förväntningar i verksamheten. Datainspektionens ”kunder” i ett vitt perspektiv är riksdag och regering, svenska myndigheter, företag, organisationer och andra som behandlar personuppgifter, samt framför allt de enskilda vars personuppgifter behandlas. Sammanfattningsvis kan man säga att alla människor i Sverige är ”kunder” hos Datainspektionen.

Anpassning av verksamheten till intressenternas krav och förväntningar måste ske fortlöpande. Därför bör strukturerade former för dialog, kommunikation och utvärdering för detta finnas. Samtidigt har Datainspektionen ett ansvar att inte bara tillfredsställa de önskemål som dess ”kunder” direkt utrycker. Inspektionen har enligt sitt uppdrag givetvis också ett ansvar att påverka de personuppgiftsansvariga att behandla personuppgifter korrekt samt i enlighet med god sed och de

regler och riktlinjer vars efterlevnad inspektionen är satt att upprätthålla och bevaka. Detta innebär att Datainspektionen i sin tillsynsverksamhet inte kan avvakta tydliga signaler från intressenter beträffande önskemål om utveckling av verksamheten, utan själv måste ta initiativet till en utveckling av verksamheten vad gäller inriktning och kvalitet.

Enligt utredningens mening är härvid särskilt viktigt att Datainspektionen är aktiv i samhällsdebatten och att myndigheten prioriterar att medverka till att olika former av självreglering kommer tillstånd.

8.4.2. Uppföljning och utvärdering

Uppföljning och utvärdering av verksamheten är viktigt för att kunna planera det fortsatta arbetet. En noggrann utvärdering av olika insatser är en förutsättning för att resultatet av verksamheten skall kunna tas till vara i organisationen på ett ändamålsenligt sätt. Det bör därför finnas särskilda rutiner som säkerställer att resultatet av olika projekt används på ett effektivt sätt i myndighetens verksamhet.

Det är viktigt att de mål som formuleras för verksamheten också följs upp efter genomförda åtgärder. Både ordinarie verksamhet och genomförda särskilda projekt måste följas upp på ett ändamålsenligt sätt. Det är dessutom av stor betydelse att medarbetarna kan se resultatet av sitt arbete.

Datainspektionen bör följa upp specifika inspektioner för att utvärdera vilka resultat dessa fått för behandlingen av personuppgifter hos de enskilda tillsynsobjekten. Men också samverkan med informationsinsatserna bör utvärderas, t.ex. om resultaten från inspektionerna nått ut och fått genomslag hos andra personuppgiftsansvariga inom samma bransch eller liknande områden. Utvärdering bör naturligtvis också ske för att kontrollera om de uppställda målen uppfyllts och om arbetsmetoderna är effektiva och ändamålsenliga.

En förutsättning för att uppföljning och utvärdering av verksamheten skall kunna ske är att genomförda insatser dokumenteras på ett enhetligt och korrekt sätt. En sådan dokumentation kan också ligga till grund för spridning av resultaten från genomförda inspektioner till t.ex. berörda branscher, myndigheter eller allmänheten. Datainspektionens hemsida på Internet bör här kunna användas i stor utsträckning.

Också inspektionens strategi för myndighetens arbete bör samlas på ett lättillgängligt sätt för att underlätta tillämpningen i det praktiska arbetet. Materialet kan också ge stöd och vägledning för den personal som deltar i varje enskilt led av tillsynsprocessen. Ett sådant material kan t.ex. innehålla såväl övergripande mål och beskrivning av

inspektionens uppgift som specifika rutinbeskrivningar av tillsynsprocessens olika delmoment och mallar för inspektionsplaner och rapporter.

I samband härmed bör också påpekas vikten av att erfarenheter i verksamheten dokumenteras och sprids på ett lämpligt sätt även internt till Datainspektionens medarbetare, för att man skall kunna dra lärdom och slutsatser av genomförda åtgärder för att förbättra och effektivisera den framtida verksamheten.

Med ett så diffust ändamål för verksamheten som skyddet för den personliga integriteten är det svårt att utvärdera hur framgångsrik verksamheten verkligen är. Eftersom ”skydd för den personliga integriteten” är svårt att kvantifiera har hittills ingen accepterad metod kunnat utarbetas för att mäta effekterna av olika tillsynsmetoder/insatser. Detta får dock inte hindra att man anstränger sig för att sätta upp tydliga mål för arbetet utifrån vilka man kan utvärdera och analysera verksamheten.

8.5. Informationsverksamheten

En effektiv tillsynsverksamhet förutsätter enligt utredningens mening att Datainspektionen sprider kunskap om integritetsskyddslagstiftning och behandling av personuppgifter i allmänhet. Med goda kunskaper om behandling av personuppgifter och integritet kan människorna i Sverige se till att frågorna blir uppmärksammade i tillräcklig utsträckning och ställa berättigade krav på dem som behandlar personuppgifter att iaktta skyddet för den personliga integriteten.

Även teknikens möjligheter att förebygga intrång i den personliga integriteten bör uppmärksammas. Information om system som bidrar till god personuppgiftshantering bör publiceras eller spridas på annat sätt. I informationsverksamheten bör också ingå att t.ex. resultatet av utförda inspektioner kommer andra personuppgiftsansvariga med liknande förhållanden till del.

Framför allt massmedia och Internet bör vara två viktiga hjälpmedel i Datainspektionens informationsverksamhet.

För att öka allmänhetens och de personuppgiftsansvarigas intresse för integritetsfrågor är det viktigt att föra ut budskapet om personuppgiftshanteringens möjligheter, samt vilka rättigheter och skyldigheter som föreligger. Information i massmedia om integritetsfrågor gör att bevakningsuppgiften sprids till allmänheten och samtidigt ökar möjligheten att genom klagomål till Datainspektionen upptäcka oegentligheter i personuppgiftshanteringen som bör bli föremål för inspektionens vidare åtgärder.

Massmediabevakningen bör även kunna användas av Datainspektionen till att stimulera till självreglering och annan form av egenkontroll. De personuppgiftsansvariga kan genom media varslas om inom vilka områden Datainspektionen anser att de största hoten mot den personliga integriteten finns och var inspektionen har för avsikt att utföra inspektioner inom den närmaste framtiden.

Datainspektionen bör vidare kunna utveckla sin hemsida på Internet ytterligare för att härigenom sprida kunskap till allmänheten. Internet har i dag blivit en allt mer utnyttjad källa för information. Människor vill ofta snabbt och enkelt, direkt när behovet uppstår, kunna få tag i information och använder sig då av Internet som första alternativ. Datainspektionen bör därför satsa på att den information som inspektionen vill komma ut med i så stor utsträckning som möjligt går att inhämta via myndighetens webbplats.

Utöver den information som i dag går att få finns en efterfrågan på en allmän rapportering av praxis inom Datainspektionens ansvarsområde. I det sammanhanget kan man överväga en utgivning av praxis på CD-romskivor eller i årsböcker i webb-form.

Det är i detta sammanhang värt att notera att Datainspektionen i sitt tillsynsarbete de senaste åren inte har kunnat se någon tydlig successiv övergång mellan tillämpning av datalagen och tillämpning av personuppgiftslagen. Det tyder på att de flesta personuppgiftsansvariga började tillämpa personuppgiftslagen först den 1 oktober 2001, när datalagen helt upphörde att gälla. Utredningen anser därför att det under de närmaste åren kommer att behövas särskilt kraftfulla informationsinsatser vad gäller den nya lagstiftningen. I samband med en sådan större informationskampanj bör Datainspektionen ta tillfället i akt och även mer allmänt informera om integritetsskyddet i samhället.

8.6. Inspektionsverksamheten

Inspektionsverksamheten är mycket viktig för att förebygga intrång i den personliga integriteten. Utredningen anser att en stor del av Datainspektionens resurser bör användas till att inspektera att personuppgifter behandlas lagligt och korrekt och i enlighet med god sed. En rimlig utgångspunkt är att minst en tredjedel av myndighetens personalresurser ägnas åt renodlad inspektionsverksamhet.

Inspektionsverksamheten skall vara noggrant planerad och bygga på uppsatta mål och strategier. Rutinerna för inspektionsverksamheten bör fortlöpande ses över.

Goda kunskaper hos personalen om de olika tillsynsobjekten och deras verksamhet är en stor tillgång i inspektionsverksamheten. En

effektiv inspektionsverksamhet bör därför bl.a. bedrivas av ett antal arbetslag med olika specialisering. Detta kan ske i form av små självständiga inspektionsgrupper med områdesansvar för vissa branscher, kommunal förvaltning och statliga myndigheter. För Datainspektionen som är en liten myndighet gäller dock samtidigt att man mellan olika avdelningar kan samarbeta och dra ömsesidig nytta av varandras erfarenheter inom olika verksamheter. I kapitel 13, Datainspektionens finansiering, tas frågan upp om att debitera en avgift för den renodlade inspektionsverksamheten.

8.7. Personuppgiftsombud och självreglering

Även om Datainspektionen skall utföra en omfattande kontroll av hanteringen av personuppgifter i samhället bygger personuppgiftslagens regler på att ansvaret för behandlingen av personuppgifter ligger hos den för vars verksamhet behandlingen sker. Den personuppgiftsansvarige kan utse ett personuppgiftsombud som självständigt skall kontrollera behandlingen av personuppgifter. Ansvaret för att behandlingen är korrekt och i enlighet med personuppgiftslagen och god sed ligger dock alltjämt kvar på den personuppgiftsansvarige.

Även om Datainspektionen som tillsynsmyndighet har ansvar för att övervaka behandlingen av personuppgifter kan myndigheten, som tidigare framhållits, inte kontrollera allt. För att så effektivt som möjligt utnyttja sina resurser till att förebygga intrång i den personliga integriteten gäller det därför enligt utredningens uppfattning att Datainspektionen arbetar för att sprida kontrollen av de personuppgiftsansvariga på så många seriösa aktörer som möjligt. Här har personuppgiftsombuden och olika former av självreglering en viktig funktion att fylla.

Eftersom Datainspektionen inte själv kan kontrollera allt, måste man använda sig av alla goda krafter i samhället för att tillvarata skyddet för den personliga integriteten. Myndigheter, företag, organisationer och privatpersoner måste själva bidra till att uppmärksamma hot mot den personliga integriteten och förhindra intrång i densamma. För att detta skall vara möjligt krävs att dessa grupper har goda kunskaper om personuppgiftslagen och integritetsfrågor i allmänhet. Datainspektionens uppgift som informatör och rådgivare i detta sammanhang framstår därmed som oerhört centralt och viktigt.

Personuppgiftsombudets uppgift är att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett lagligt och korrekt sätt och i enlighet med god sed samt att påpeka eventuella brister. Detta innebär enligt förarbetena att ombudet i vart fall bör granska rutinerna för behandling av personuppgifter och de krav på

kvalifikationer, lämplighet och kunskap som den personuppgiftsansvarige ställer på den personal som tillåts behandla sådana uppgifter.

Personuppgiftsombuden är en resurs för integritetsskyddet och fungerar med sina uppgifter som Datainspektionens förlängda arm. Med hänsyn till ombudens ansvar innebär funktionen en rejäl ambitionshöjning vad gäller integritetsskyddet i samhället. En utbredd användning av systemet med personuppgiftsombud bör därför enligt utredningens uppfattning få betydelse för inriktningen och omfattningen av Datainspektionens tillsynsinsatser. Ett framgångsrikt utnyttjande av personuppgiftsombuden, som innebär att ombuden övertar en del av det ansvar som i dag vilar på Datainspektionen, kräver emellertid att ombudens kunskaper om integritetsskydd i samband med behandling av personuppgifter ligger på en hög nivå. För att åstadkomma detta kommer det att behövas såväl utbildning som ett fortlöpande stöd åt ombuden med bl.a. samrådsmöjligheter. Även om personuppgiftsombuden således kan avlasta Datainspektionen i dess tillsyn över behandlingen av personuppgifter i samhället kommer ombuden att vara i behov av vissa insatser från myndighetens sida, naturligen inom ramen för myndighetens informationsverksamhet. Detta förutsätter att inspektionen har resurser för sådan verksamhet. Som utredningen framhållit i avsnitt 8.3 bör Datainspektionens personalresurser därför initialt vara oförändrade. De resurser, som tillskapas om ansvaret för kreditupplysnings- och inkassolagarna förs över till Finansinspektionen (ca 2,5 årsarbetskrafter), kan i ett inledningsskede användas för ifrågavarande verksamhet.

På sikt kan dock personuppgiftsombuden enligt utredningens uppfattning medföra minskade kostnader för Datainspektionens verksamhet. Att ansvaret för integritetsskyddet i samband med behandling av personuppgifter har flyttats från Datainspektionen till de personuppgiftsansvariga och personuppgiftsombuden innebär nya förutsättningar för Datainspektionen när det gäller myndighetens inspektionsverksamhet. Personuppgiftsombudens ansvar att självständigt kontrollera behandlingen av personuppgifter, en kontroll som tidigare var en uppgift endast för Datainspektionen, ger möjligheter för myndigheten att genom prioritering effektivisera sin inspektionsverksamhet. Myndigheten bör härmed ytterligare kunna fokusera på de områden där störst risk för intrång i den personliga integriteten föreligger. I takt med att ombudens ansvar för integritetsskyddet utvecklas, bör enligt utredningens mening Datainspektionens resurser i framtiden kunna minskas.

Det är inte möjligt för utredningen att uttala sig närmare om de konsekvenser för Datainspektionens framtida resursbehov i anledning av de nya förutsättningar för myndighetens verksamhet som personupp-

giftsombuden medför. En rimlig utgångspunkt är emellertid att resurserna kan minskas i den mån personuppgiftsombuden på ett framgångsrikt sätt tar över ansvaret för integritetsskyddet. Som en jämförelse när det gäller frågan om vilka resurser för integritetsskyddet som införandet av personuppgiftsombud innebär kan förhållandena inom polisen nämnas. Rikspolisstyrelsen och samtliga länspolismyndigheter har utsett 20 personuppgiftsombud, motsvarande ca 7 heltidstjänster. Lågt räknat innebär detta en årlig kostnad på ca 7,5 miljoner kr, eller ca 25 procent av kostnaderna för hela Datainspektionens verksamhet. Enbart polisens kostnader för kontroll av organisationens behandling av personuppgifter innebär således en jämförelsevis mycket kraftig förstärkning av resurserna för skyddet för den personliga integriteten. Motsvarande satsningar hos andra myndigheter, organisationer och företag måste enligt utredningens bedömning ge förutsättningar att minska Datainspektionens resurser. Ett utbyggt system med personuppgiftsombud bör medföra att ett fullgott skydd för den personliga integriteten kan uppnås i samhället även om omfattningen av Datainspektionens verksamhet minskar.

Enligt utredningens uppfattning bör emellertid även andra aktörer än personuppgiftsombud kunna delta i förebyggandet av intrång i den personliga integriteten, t.ex. revisorer med särskilda kunskaper om personuppgiftsbehandling och integritetsskyddslagstiftning. Det finns anledning att närmare studera om inte en ökad kompetens hos revisionsbyråerna bör kunna medföra att vissa revisorer enligt sina uppdragsgivares önskemål granskar om hanteringen av personuppgifter följer personuppgiftslagens bestämmelser. Arbetet med självreglering i Nederländerna, som beskrivs närmare i kapitel 11, kan här tjäna som förebild för Datainspektionen i detta sammanhang.

Företag och andra kan vara måna om att för goodwill och annat kunna peka på att behandlingen av personuppgifter granskats från integritetsperspektiv. Datainspektionen bör därför t.ex. verka för att olika former av frivilliga kontrollorgan tillskapas.

Datainspektionen bör också stimulera andra former av egenkontroll och självreglering. Alla åtgärder som innebär att fler engagerar sig i arbetet för att förebygga intrång i den personliga integriteten medför att Datainspektionen kan koncentrera sina resurser till de särskilt viktiga områdena och på så sätt ytterligare effektivisera sin tillsynsverksamhet.

Självreglering kan användas på olika sätt. En anmodan om egenkontroll från Datainspektionen kan vara ett incitament för de personuppgiftsansvariga att själva se över sin personuppgiftshantering och förbättra den.

Enligt 14 § personuppgiftsförordningen skall Datainspektionen på begäran av en organisation inom en viss bransch eller område avge

yttrande över förslag till branschöverenskommelser vad avser behandling av personuppgifter inom branschen eller området.

Datainspektionen bör på alla sätt stödja olika former av självreglering och medverka till att branschöverenskommelser till skydd för den personliga integriteten utarbetas. Ypperliga tillfällen ges att i samband med inspektioner väcka frågor om självreglering. Som Datainspektionen själv vid olika tillfällen uttalat, främjas skyddet för den personliga integriteten bäst om reglerna anpassas till de specifika förhållanden som råder inom olika branscher eller områden i samhället. Genom att engagera bransch- och områdesföreträdare i utvecklingen av normer för personregistreringen sprids en fördjupad kunskap om och en större förståelse för integritetsfrågorna. Det går i ett sådant utvecklingsarbete också att locka fram ett intresse för de etiska aspekterna på personregistrering i den egna verksamheten.

Självreglering behandlas vidare i kapitel 11.

9. Datainspektionens tillsyn inom ramen för polis- och tullsamarbetet

Datainspektionen bör även fortsättningsvis vara tillsynsmyndighet vad gäller Europol-, Schengen- och TIS-konventionerna.

De tre konventionerna reglerar stora datorbaserade informationssystem, som innehåller ansenliga mängder personuppgifter för ett snabbt och effektivt informationsutbyte. En oberoende myndighet skall vara tillsynsmyndighet enligt konventionerna. Ingen myndighet är lämpligare än Datainspektionen i detta avseende.

9.1. Europol-, Schengen och TISkonventionerna

Enligt direktiven skall utredningen analysera vilken roll Datainspektionen bör ha när det gäller tillsyn inom ramen för polis- och tullsamarbetet, närmare bestämt Europol-, Schengen- och TIS-konventionerna. Om utredningen finner att sådan tillsyn även fortsättningsvis bör vara en uppgift för Datainspektionen skall möjligheterna till en avgiftsfinansiering prövas.

Europol-, Schengen- och TIS-konventionerna beskrivs närmare i avsnitt 3.7–3.9.

Grunden för de tre olika konventionerna är gemensam. Det rör sig om stora datorbaserade informationssystem som innehåller stora mängder personuppgifter för snabb och effektiv informationsspridning.

Informationssystemen är uppbyggda av uppgifter som överförs från motsvarande nationella system inom de olika medlemsländerna. Syftet med informationssystemen är främst att underlätta ingripanden mot allvarlig brottslig verksamhet, motverka negativa konsekvenser av den fria rörligheten för personer och bekämpa brott mot EU:s tull- och jordbrukslagstiftning.

Europolkonventionen

Europol är en europeisk polisbyrå som har till uppgift att vara ett kriminalunderrättelseorgan för de brottsbekämpande myndigheterna i medlemsländerna inom EU. Medlemsländerna tillhandahåller Europol uppgifter ur sina nationella register, vilka uppgifter sammanställs, bearbetas och analyseras hos Europol. Den sammanställda informationen skall sedan kunna återställas till medlemsländerna.

Den centrala beståndsdelen i Europol är dess datorbaserade informationssystem, som omfattar tre olika register. Det är i detta informationssystem som uppgifterna från medlemsländerna sammanställs. Med hänsyn till den stora mängd personuppgifter som behandlas i informationssystemet innehåller Europolkonventionen ett antal regler som tar sikte på enskildas integritetsskydd och skydd för känsliga personuppgifter.

Det finns en gemensam tillsynsmyndighet som består av företrädare för de nationella tillsynsmyndigheterna och som har till uppgift att kontrollera att handhavandet av personuppgifter överensstämmer med konventionens regler. I varje medlemsland skall det dessutom finnas en nationell tillsynsmyndighet som har motsvarande uppgift i förhållande till de nationella enheternas verksamhet. Regeringen har utsett Datainspektionen till svensk tillsynsmyndighet enligt Europolkonventionen.

Schengenkonventionen

Schengenkonventionen har som grundläggande syfte att främja den fria rörligheten för personer inom unionen. För att denna fria rörlighet inte också skall leda till ökad internationell brottslighet har en del åtgärder som syftar till ett ökat polisiärt och rättsligt samarbete vidtagits. Ett viktigt hjälpmedel i detta sammanhang är Schengens informationssystem, SIS.

SIS består av en nationell enhet för varje medlemsstat och en central teknisk stödfunktion, som är gemensam för Schengenländerna. Varje Schengenstats nationella enhet innehåller uppgifter som är identiska med uppgifterna i de övriga ländernas nationella enheter. Beträffande uppgifter om personer får registreringen i SIS endast avse vissa identitetsuppgifter, och uppgifter får bara föras in för vissa i konventionen angivna ändamål.

Varje Schengenstat skall utse en myndighet som har till uppgift att självständigt utöva tillsyn över det nationella SIS-registret och att kontrollera att behandling och utnyttjande av uppgifter som införts i

SIS inte skadar den enskildes rättigheter. I Sverige är det Datainspektionen som har utsetts till nationell tillsynsmyndighet enligt konventionen. Företrädare för de nationella tillsynsmyndigheterna ingår i en gemensam tillsynsmyndighet som har till uppgift att utöva tillsyn över den tekniska stödfunktionen i Schengens informationssystem.

TIS-konventionen

Inom ramen för det internationella tullsamarbetet har EU:s medlemsstater kommit överens om att inrätta ett tullinformationssystem. Informationssystemet är en gemensam internationell databas avsedd att underlätta informationsutbytet mellan tullmyndigheterna i deras verksamhet med att förebygga, utreda och lagföra brottslighet som tullmyndigheterna har att bekämpa.

Tullinformationssystemet består av en central databas upprättad av EU-kommissionen. Den centrala databasen skall vara åtkomlig via terminaler i varje medlemsstat och innehålla uppgifter som är nödvändiga för tullmyndigheternas brottsbekämpning vad gäller brott både mot nationell lagstiftning och mot EU:s tull- och jordbrukslagstiftning.

Endast vissa kategorier av personuppgifter får registeras och då bara sådana som avser personer som på grund av faktiska bevis misstänks för grova överträdelser.

Varje medlemsstat skall utse en eller flera nationella tillsynsmyndigheter som skall övervaka personuppgiftshanteringen och att användningen av personuppgifterna inte kränker berörda personers rättigheter. Enligt förordningen (1998:64) om tillämpning av Europeiska unionens tullinformationssystem är Datainspektionen svensk tillsynsmyndighet i anslutning till förordningen (EG) 515/97. Datainspektionen kommer med största sannolikhet att utses till nationell tillsynsmyndighet även enligt TIS-konventionen genom att denna uppgift förs in i myndighetens instruktion. Frågan handläggs för närvarande inom Regeringskansliet.

Företrädare för de nationella tillsynsmyndigheterna skall ingå i en gemensam tillsynsmyndighet, som dock ännu inte formellt inrättats.

Att tullinformationssystemet ännu inte tagits i drift fullt ut beror på juridiska komplikationer på både nationell och gemenskapsrättslig nivå vad gäller tillämpningen av TIS-konventionen.

9.2. Vilken myndighet skall utöva tillsyn över polis- och tullsamarbetet?

Enligt varje enskild konvention, Europol, Schengen och TIS, skall det som framgått finnas en oberoende nationell tillsynsmyndighet som med beaktande av konventionens bestämmelser och nationell rätt utövar kontroll av att behandlingen av personuppgifter i de olika datasystemen inte medför intrång i de registrerades personliga integritet.

Datainspektionen har utsetts till nationell tillsynsmyndighet enligt Europol- och Schengenkonventionen. Vad gäller tullinformationssystemet är Datainspektionen tillsynsmyndighet i anslutning till förordningen (EG) 515/97 och kommer med största sannolikhet att utses till sådan myndighet även enligt TIS-konventionen. Den senare frågan handläggs som nämnts just nu inom Regeringskansliet.

Det förhållandet att de tre konventionerna förutsätter övervakning av en oberoende tillsynsmyndighet och att det rör sig om tillsyn över behandling av stora mängder känsliga personuppgifter talar för att Datainspektionen skall ha den centrala rollen när det gäller tillsyn inom ramen för det nu berörda polis- och tullsamarbetet.

Datainspektionen har en lång erfarenhet av tillsyn över datorbaserade informationssystem. Myndighetens huvuduppgift är dessutom att skydda enskildas personliga integritet vid behandling av personuppgifter. Det är också Datainspektionen som i dag rent faktiskt utövar tillsyn över de datasystem som tagits i bruk.

Enligt utredningens bedömning är det svårt att se någon myndighet som är bättre lämpad att utföra nu aktuella uppgifter, och att skapa en ny oberoende myndighet för ändamålet framstår inte som rationellt.

Vid ett sådant ställningstagande åligger det utredningen att pröva möjligheterna till en avgiftsfinansiering av Datainspektionens verksamhet enligt de tre konventionerna. Denna fråga behandlas i kapitel 13.

10. Tillstånd och tillsyn inom kreditupplysnings- och inkassoverksamhet

Datainspektionen skall i fortsättningen vara en renodlad tillsynsmyndighet vad gäller skyddet för den personliga integriteten i samband med behandling av personuppgifter. Tillstånds- och tillsynsuppgifterna enligt kreditupplysnings- och inkassolagarna bör därför tas över av en annan myndighet.

Tänkbara myndigheter i detta sammanhang är Finansinspektionen, Konsumentverket och Riksskatteverket. Övervägande skäl talar för att uppgifterna skall flyttas över till Finansinspektionen. Datainspektionen skall givetvis behålla tillsynen enligt personuppgiftslagen inom kreditupplysnings- och inkassoområdena.

Frågan om finansiering av tillsyns- och tillståndsverksamheten inom kreditupplysnings- och inkassoområdena behandlas i kapitel 13.

10.1. Kreditupplysnings- och inkassoverksamhet

Enligt direktiven skall utredningen överväga om Datainspektionen även fortsättningsvis skall ha tillstånds- och tillsynsuppgifter när det gäller kreditupplysnings- och inkassoverksamhet eller om detta ansvar kan överföras till någon annan myndighet, och i så fall till vilken myndighet.

Som bakgrund till utredningens överväganden ges i avsnitt 10.1 och 10.2 en översiktlig beskrivning av den kreditupplysnings- och inksassoverksamhet som bedrivs i Sverige i dag, och grunderna för att dessa verksamheter skall stå under statlig tillsyn samt omfattas av ett krav på tillstånd. En närmare redogörelse för bestämmelserna i kreditupplysnings- och inkassolagarna finns i avsnitt 3.5–3.6.

10.1.1. Kreditupplysningsverksamhet

Med kreditupplysning avses i kreditupplysningslagen ”uppgift, omdöme eller råd, som lämnas till ledning för bedömning av annans kreditvärdighet eller vederhäftighet i övrigt i ekonomiskt hänseende”. En kreditupplysning består framför allt av ekonomisk information om en person. Även andra uppgifter kan ingå, t.ex. om en person är gift eller har utvandrat. En upplysning innehåller dessutom inte bara fakta. Omdömen och råd kan också lämnas som ledning för en ekonomisk bedömning.

Den svenska kreditupplysningsmarknaden domineras för närvarande av fem stora företag, varav de två största är Upplysningscentralen UC AB och Dun&Bradstreet Sverige AB. Båda de senare företagen har kontor i Stockholm och bedriver verksamhet över hela landet. UC ägs av bankerna och tillkom som ett samordningsorgan för bankernas interna kreditupplysningsverksamhet. Därutöver finns ytterligare tio kreditupplysningsföretag i landet. Sammanlagt finns det alltså 15 företag som har Datainspektionens tillstånd att bedriva kreditupplysningsverksamhet.

Bank- och kreditmarknadsföretag vars grundläggande tillstånd omfattar kreditupplysningsverksamhet behöver inte Datainspektionens tillstånd att bedriva sådan verksamhet. Innan verksamheten påbörjas måste dock detta anmälas till Datainspektionen. Det finns endast ett företag som har lämnat in en sådan anmälan och detta bedriver enligt Datainspektionen inte kreditupplysningsverksamhet i egentlig mening.

Datainspektionens tillsyn enligt kreditupplysningslagen är koncentrerad till de fem stora kreditupplysningsföretagen och då främst UC som i sammanhanget är störst och behandlar flest personuppgifter.

Kreditupplysningsföretagen tillhandahåller olika typer av kreditupplysningar. Vissa upplysningar innehåller endast faktauppgifter, medan andra kompletteras med olika slag av råd och omdömen. Redovisningen av fakta kan också vara mer eller mindre omfattande. Merparten av kreditupplysningar lämnas ut till kunder som abonnerat på företagens tjänster. Utlämnandet sker vanligen via datoruppkoppling men även via brev, fax och telefon.

Kreditupplysningsföretagen inhämtar uppgifter från ett stort antal källor. Merparten av uppgifterna inhämtas från offentliga källor och register. Uppgifterna samlas in med stöd av offentlighetsprincipen men överförs efter överenskommelse med myndigheterna ofta på elektronisk väg vid bestämda tidpunkter. De stora kreditupplysningsföretagens register innehåller uppgifter om i stort sett hela Sveriges vuxna befolkning.

Vissa offentliga register, som används av kreditupplysningsföretagen, har som ändamål att vara allmänheten till upplysning och hjälp. Inskrivningsregistret innehåller t.ex. uppgifter om fastighetsägare och inteckningar till hjälp för dem som vill förvärva fast egendom. Från aktiebolagsregistret kan exempelvis uppgifter inhämtas om vem som företräder ett aktiebolag. Det finns också register som inrättats särskilt för försäljning av uppgifter till allmänheten. Så är fallet med det statliga person- och adressregistret (SPAR). Andra offentliga register är främst avsedda för myndigheternas egen verksamhet. Det gäller t.ex. register hos Riksskatteverket, skattemyndigheterna och kronofogdemyndigheterna. I begränsad omfattning inhämtas uppgifter från privata källor. Som exempel kan nämnas bankers rapportering av missbrukade krediter till UC.

SPAR används för att aktualisera, komplettera och kontrollera personuppgifter. Från SPAR inhämtar kreditupplysningsföretagen bl.a. uppgifter om namn, personnummer adress och civilstånd.

Från Patent- och registreringsverket inhämtas i huvudsak uppgifter som har samband med näringsverksamhet, exempelvis uppgifter om aktiebolag samt handels- och kommanditbolag.

Från exekutionsväsendet inhämtar kreditupplysningsföretagen uppgifter om restförda skatter och avgifter. Dessa restföringar har inkommit från ett antal myndigheter, t.ex. Vägverket, Centrala studiestödsnämnden, Radiotjänst i Kiruna och försäkringskassorna. Uppgifter om restföringar överförs elektroniskt till kreditupplysningsföretag varje dag. Uppgift om en gäldenärs totalskuld (skuldsaldo) lämnas ut veckovis. Vidare lämnas uppgifter om registrerade slutliga utredningsrapporter, företagsrekonstruktion, skuldsanering, konkurser och uppgifter angående verkställighet i återtagningsmål. I dag finns ca 500 000 registrerade gäldenärer hos Riksskatteverket och Kronofogdemyndigheten.

Den 1 oktober 2001 trädde lagen (2001:590) om behandling av uppgifter i kronofogdemyndigheternas verksamhet i kraft. I lagen regleras ett antal databaser, bl.a. utsöknings- och indrivningsdatabaser, betalningsföreläggande- och handräckningsdatabaser samt skuldsaneringsdatabaser. I samband med ikraftträdandet av lagen stärktes sekretessen inom exekutionsväsendet. Detta medförde vissa konsekvenser för kreditupplysningsföretagen.1

1Prop. 2000/01:33 s. 185 ff.

10.1.2. Inkassoverksamhet

Med inkassoverksamhet avses indrivning av egen eller annans fordran genom krav eller annan inkassoåtgärd. Med inkassoåtgärd förstås åtgärd som innebär annan påtryckning på gäldenären än angivande av tid för betalning eller uppgift om att fordringen, om den inte betalas, kommer att överlämnas till någon annan för inkasso.

Inkassoverksamhet, som avser indrivning av fordringar för annans räkning eller fordringar som har övertagits för indrivning, får enligt huvudregeln bedrivas endast efter tillstånd av Datainspektionen. Det finns i dag 230 företag i Sverige som har Datainspektionens tillstånd att bedriva inkassoverksamhet. Dessa företag har i dag knappt 2 miljoner gäldenärer registrerade.

Stor del av den inkassoverksamhet som bedrivs i Sverige är dock sådan som inte omfattas av kravet på tillstånd från Datainspektionen. Det gäller då s.k. egeninkasso, med vilket avses att företag, kommuner och statliga myndigheter som vid sidan av annan verksamhet driver in fordringar för egen räkning. Denna verksamhet måste emellertid även den bedrivas i enlighet med god inkassosed och följa inkassolagens regler i övrigt. Sådan verksamhet står också under Datainspektionens tillsyn och svarar för en stor del av inspektionens tillsynsinsatser inom området.

Inkassoverksamhet bedrivs dessutom av företag som står under Finansinspektionens tillsyn och av advokater. Sådana företag och advokater behöver inte Datainspektionens tillstånd och omfattas inte heller av Datainspektionens tillsynsansvar enligt inkassolagen.

10.2. Tillstånd och tillsyn

Kreditupplysningsverksamhet får enligt huvudregeln i 3 § kreditupplysningslagen bedrivas endast med stöd av tillstånd från Datainspektionen.

Enligt 4 § får tillstånd meddelas bara om verksamheten kan antas bli bedriven på ett sakkunnigt och omdömesgillt sätt.

I kreditupplysningslagen finns regler om hur kreditupplysningsverksamheten skall bedrivas. Datainspektionen utövar tillsyn över att reglerna efterlevs. Verksamheten skall bedrivas på ett sådant sätt att den inte leder till otillbörligt intrång i personlig integritet genom innehållet i de upplysningar som förmedlas. Uppgifter om en persons ras, etniska ursprung, politiska uppfattning, religiösa eller filosofiska övertygelse eller sexualliv får t.ex. över huvud taget inte användas i kreditupplysningsverksamhet.

Vid lagens tillkomst underströk departementschefen vikten av att kreditupplysningsverksamhet organiseras på ett sätt som ger betryggande garantier för efterlevnaden av de regler som ställts upp till skydd för de kreditsökande. Därvid framhölls vikten av att man så långt som möjligt kan förebygga riskerna för integritetskränkningar och att det därför bör ske en kontroll av de företag som avser att utöva kreditupplysningsverksamhet samt att det bör finnas en fortlöpande tillsyn över verksamheten. Att tillstånd kunde förenas med erforderliga föreskrifter om hur verksamheten skall bedrivas sågs som en fördel. En god preventiv effekt förväntades genom möjligheten att återkalla tillstånd.2

Vid den översyn av kreditupplysningslagen som gjordes i början av 1980-talet ifrågasattes inte om tillståndsplikten skulle vara kvar.3

Även vid den översyn av tillstånds- och tillsynsfrågor inom kreditupplysningsverksamhet som gjordes i prop. 1996/97:65 Ändringar i kreditupplysningsverksamhet, fann man att övervägande skäl talar för att tillstånds- och tillsynssystemet behålls. Det framhölls att den som vill bedriva kreditupplysningsverksamhet bör ha god kännedom både om kreditupplysningslagens regler och om andra bestämmelser som syftar till att skydda enskilda personers integritet. Kreditupplysningsverksamhet kan innebära besvärliga avvägningar och ställningstaganden, vilket förutsätter ett gott omdöme hos den som har att fatta besluten. Såväl enskilda personer som företag kan drabbas hårt om felaktiga eller missvisande kreditupplysningar lämnas om dem. Det är därför viktigt att upplysningarna är korrekta och att den omfrågade snabbt och enkelt kan få rättelse till stånd om ett misstag har begåtts. Genom ett tillståndssystem kan man få vissa garantier för att kreditupplysningsverksamhet bedrivs av kompetenta personer och på ett seriöst sätt. De uppgifter som för den enskilde är mest integritetskänsliga utgör ofta särskilt intressant information från kreditbedömningssynpunkt. Det finns följaktligen ett starkt intresse från kreditbedömare att få tillgång till sådana uppgifter. Samtidigt är kreditupplysningsföretagen angelägna om att kunna erbjuda den information som efterfrågas. Det finns således på kreditupplysningsmarknaden moment som medför att riskerna för intrång i den kreditsökandes integritet är betydande. För att de kreditsökandes intressen skall bevakas på ett effektivt sätt erfordras därför en kontroll från det allmännas sida av att kreditupplysningsverksamhet bedrivs bara av omdömesgilla och kompetenta personer.4

2Prop. 1973:155 s. 81 f. 3Prop. 1980/81:10. 4Prop. 1996/97:65 s. 32.

De skäl som anfördes till stöd för tillståndssystemet ansågs, med hänsyn till i första hand enskilda personers integritet, också avgörande i frågan om tillsyn. Det slogs därför fast att även systemet med myndighetstillsyn skulle behållas.5

Inkassoverksamhet kan som huvudregel inte heller bedrivas utan tillstånd. Det krävs således Datainspektionens tillstånd för indrivning av fordringar för annans räkning. Från den allmänna tillståndsplikten görs vissa undantag, t.ex. för personer och företag som står under någon form av tillsyn av annat organ än Datainspektionen, framför allt

Finansinspektionen. Även advokater, som står under tillsyn av Sveriges advokatsamfund, är uttryckligen undantagna från tillståndsplikten.

Motsvarande förhållanden som för kreditupplysningsverksamhet gör sig gällande vad avser tillstånd och tillsyn inom inkassoområdet. Redan mängden personuppgifter som behandlas av inkassoföretagen, som har nästan 2 miljoner gäldenärer registrerade, gör att verksamheten får anses integritetskänslig. Även inom inkassoverksamhet behandlas således ett stort antal personuppgifter, som på motsvarande sätt som i kreditupplysningssammanhang måste vara relevanta och korrekta. Vikten av att det skapas betryggande garantier för efterlevnaden av de regler som ställts upp för inkassoverksamheten har motiverat att verksamheten endast skall få bedrivas efter tillstånd och att det skall finnas en fortlöpande tillsyn över verksamheten.6

Även den som bedriver icke tillståndspliktig inkassoverksamhet omfattas av inkassolagens regler om hur verksamheten skall bedrivas och är således skyldig att iaktta bestämmelserna om god inkassosed. Datainspektionens tillsynsansvar gäller också den icke tillståndspliktiga verksamheten med undantag för de företag och personer som står under tillsyn av något annat organ. Således står all inkassoverksamhet under någon form av tillsyn.

10.3. Vilken myndighet skall meddela tillstånd och utöva tillsyn?

Vilken myndighet som skall meddela tillstånd och utöva tillsyn enligt kreditupplysningslagen har tidigare varit föremål för övervägande.7Kreditupplysningsutredningen föreslog att tillståndsprövningen skulle utföras av Datainspektionen men att ansvaret för tillsynen skulle vara uppdelat mellan Datainspektionen och Finansinspektionen. En sådan

5Prop. 1996/97:65 s. 33. 6Prop. 1974:42 s. 88 f. 7 Kreditupplysningsutredningen, SOU 1993:110.

uppdelning ansåg emellertid regeringen skulle innebära ett mindre effektivt utnyttjande av resurserna och en risk för att de olika delarna av kreditupplysningsmarknaden inte skulle styras av överensstämmande villkor. Eftersom Datainspektionen, till skillnad från Finansinspektionen, som en av sina huvuduppgifter har att värna om skyddet för den personliga integriteten var det regeringens uppfattning att Datainspektionen skulle ha hand om tillståndsprövningen samt vara tillsynsmyndighet inom hela kreditupplysningsområdet. Att just integritetsskyddsfrågor tillskrevs stor betydelse när det gäller vilken myndighet som skall ha ansvaret för tillståndsprövningen och tillsynen ansågs naturligt med hänsyn till att kreditupplysningslagens huvudsyfte är att förhindra att kreditupplysning leder till otillbörligt intrång i den personliga integriteten. Därutöver ansåg man Datainspektionens långa erfarenhet av de frågor som kan bli aktuella i kreditupplysningssammanhang och ett betydande mått av sakkunskap inom området hos myndigheten talade för Datainspektionen. Man ville också ta tillvara Datainspektionens kompetens inom dataområdet, eftersom datortekniken spelar en viktig roll för kreditupplysningsverksamhet och att därmed tillståndsprövningen och tillsynsuppgifterna enligt datalagen (numera personuppgiftslagen) och kreditupplysningslagen sammanföll.8

Inkassolagen syftar också i första hand till att skydda enskilda mot olika slags integritetskränkningar i samband med behandling av personuppgifter. Syftet med inkassolagens regler är i första hand att undanröja riskerna för att gäldenären utsätts för otillbörliga inkassoåtgärder eller i övrigt tillfogas onödig skada eller olägenhet genom inkassoverksamhet. Även i detta sammanhang framhålls således skyddet för den personliga integriteten. Inkassolagens regler är emellertid också till skydd för näringsidkare.

Att tillsynsinsatserna enligt de olika lagarna motsvarar varandra bekräftas av Datainspektionen i dag. Tillsynsverksamheten enligt kreditupplysnings- och inkassolagarna är i första hand inriktad på behandlingen av personuppgifter i de olika verksamheterna. Tillsynen sker därför oftast enligt såväl kreditupplysnings- eller inkassolagen som personuppgiftslagen. Inspektionsinsatserna motsvarar således de som sker enbart enligt personuppgiftslagen med den skillnaden att man har ytterligare bestämmelser att beakta, vilka även de reglerar bl.a. integritetsskyddet.

Tillsyn över kreditupplysnings- och inkassoverksamhet är således inte bara kontroll av behandling av personuppgifter. Tillsynen innefattar också att se till att god sed iakttas och att reglerna i kreditupp-

8Prop. 1996/97:65.

lysnings- och inkassolagarna efterlevs. Således syftar lagstiftningen, utöver att värna om skyddet för den personliga integriteten, till att i bl.a. finansmarknadens och konsumenternas intresse bidra till en effektivt fungerande kreditupplysnings- och inkassoverksamhet.

10.3.1. För och emot Datainspektionen

För att Datainspektionen skall behålla tillstånds- och tillsynsansvaret inom det aktuella området talar först och främst att kreditupplysnings- och inkassolagarnas huvudsyfte är att förhindra att kreditupplysnings- eller inkassoåtgärder leder till otillbörligt intrång i den personliga integriteten.

Kreditupplysnings- och inkassoverksamhet innebär behandling av en stor mängd personuppgifter. De stora kreditupplysningsföretagen inhämtar varje år personuppgifter om i stort sett hela Sveriges vuxna befolkning. Detta sker på elektronisk väg från i första hand stora statliga register med stöd av offentlighetsprincipen. Inkassoföretagen har personuppgifter om nästan 2 miljoner svenska gäldenärer registrerade. Behandlingen av uppgifter hos kreditupplysnings- och inkassoföretag sker givetvis också automatiserat.

Huvuduppgiften för Datainspektionen är att värna om skyddet för den personliga integriteten vid behandling av personuppgifter. Datainspektionen har en särskild kompetens när det gäller automatiserad behandling av personuppgifter och i praktiken är det ofta så att myndighetens tillsynsuppgift enligt kreditupplysnings- och inkassolagarna sammanfaller med den enligt personuppgiftslagen.

Hos Datainspektionen finns vidare en lång erfarenhet av de frågor som kan bli aktuella i kreditupplysnings- och inkassosammanhang och ett betydande mått av sakkunskap inom området.

Enbart den omständigheten att kreditupplysnings- och inkassoverksamhet kan påverka den personliga integriteten utgör emellertid inte skäl för att just Datainspektionen skall ha ansvaret för tillstånd och tillsyn inom detta speciella område. Det finns även andra områden som innefattar viktiga integritetsaspekter utan att för den skull Datainspektionen bär huvudansvaret för tillsynen. Som exempel kan nämnas Post- och telestyrelsens verksamhetsområde. Detta förhållande hindrar emellertid inte att Datainspektionen även inom detta område tillvaratar skyddet för den personliga integriteten genom tillsyn enligt personuppgiftslagen.

Om handläggningen av tillståndsärenden och tillsyn enligt kreditupplysnings- och inkassolagarna läggs på en annan myndighet skulle det medföra att Datainspektionens verksamhet kan renodlas ännu mer.

En sådan förändring ger Datainspektionen förutsättningar att ytterligare intensifiera sina resurser på tillsyn över behandling av personuppgifter inom alla delar av samhället.

En sådan renodling ligger också i linje med den förändring av Datainspektionens verksamhet som personuppgiftslagen medfört. Tillstånds- och licenssystemet enligt datalagen har slopats och inspektionen skall i stället numera koncentrera sin verksamhet på att lämna information om personuppgiftslagen och ge råd i integritetsfrågor samt utföra inspektioner för att kontrollera att personuppgiftslagen och annan integritetsskyddslagstiftning efterlevs.

10.3.2. För och emot Finansinspektionen

Enligt instruktionen för Finansinspektionen (SFS 1996:596) är inspektionen central förvaltningsmyndighet för tillsynen över finansiella marknader, kreditinstitut och det enskilda försäkringsväsendet. Under Finansinspektionens tillsyn står 2 500 företag och försäkringsmäklare: banker och andra kreditinstitut, värdepappersbolag och fondbolag, börser, auktoriserade marknadsplatser och clearingorganisationer samt försäkringsbolag, understödsföreningar och försäkringsmäklare. De övergripande målen för Finansinspektionens verksamhet är att bidra till det finansiella systemets stabilitet och effektivitet samt att verka för ett gott konsumentskydd. Finansinspektionen har bl.a. till uppgift att utöva tillsyn i enlighet med vad som anges i lag eller annan författning, följa och analysera utvecklingen inom verksamhetsområdet samt meddela föreskrifter. Finansinspektionen meddelar också tillstånd att bedriva bankrörelse (s.k. oktroj).

Finansinspektionen är således den myndighet som meddelar tillstånd för verksamhet som erbjuder finansiella tjänster. Om det grundläggande tillståndet från Finansinspektionen omfattar kreditupplysningsverksamhet, behövs inget särskilt tillstånd från Datainspektionen för att få bedriva sådan verksamhet. Om företaget avser att bedriva kreditupplysningsverksamhet skall detta dock anmälas till Datainspektionen. Datainspektionen har hittills endast fått in en (1) sådan anmälan och företaget ifråga bedriver inte kreditupplysningsverksamhet i egentlig mening.

Datainspektionen har det totala ansvaret för tillsyn över kreditupplysningsverksamhet, vilket har motiverats av att det i första hand är fråga om inspektion av behandling av personuppgifter och att detta även i övrigt är Datainspektionens huvuduppgift. Ytterligare skäl för att Datainspektionen ensam skall bära ansvaret har som nämnts tidigare ansetts vara ett mer effektivt utnyttjande av resurserna och att risken

för att de olika delarna av kreditupplysningsmarknaden inte skulle styras av överensstämmande villkor undanröjs.

När det gäller inkassoverksamhet behöver de företag som Finansinspektionen utövar tillsyn över inte Datainspektionens tillstånd för att bedriva sådan verksamhet. Dessa företag omfattas inte heller av Datainspektionens tillsyn enligt inkassolagen, utan denna utövas av Finansinspektionen. Bakgrunden till att ansvaret för tillsyn enligt inkassolagen, till skillnad från tillsyn enligt kreditupplysningslagen, är uppdelat mellan olika myndigheter är att det ansetts mindre lämpligt att företagen på finansmarknaden skall stå under tillsyn av flera olika myndigheter.9

När frågan om tillsyn och tillstånd enligt kreditupplysningslagen avhandlades senast uttalades att kreditupplysningsverksamhet har samband med kreditgivning men också med konsumentskyddsfrågor. Detta sades tala för att eventuellt välja Finansinspektionen eller möjligen Konsumentverket som tillstånds- och tillsynsmyndighet enligt lagen.10

Framför allt övervägdes Finansinspektionen som tillstånds- och tillsynsmyndighet, eftersom kreditupplysningsverksamheten ansågs ha ett påtagligt samband med kreditbedömning och annan finansiell verksamhet. Finansinspektionens kunskaper om kreditinstitutens speciella problem och om kreditmarknaden i stort ansågs vara av värde även i kreditupplysningssammanhang. Detta torde gälla även för inkassoverksamhet över vilken Finansinspektionen redan i dag utövar viss tillsyn.

Vid remissförfarandet som föregick nämnda överväganden i prop. 1996/97:65 hävdade Datainspektionen att det med hänsyn till den starka ekonomiska anknytning som kreditupplysningsverksamhet har är mest lämpligt om ansvaret för all tillstånds- och tillsynsverksamhet låg hos Finansinspektionen. Integritetsintressena kunde, enligt Datainspektionen, bevakas och tillgodoses genom Datainspektionens kontrollmöjligheter enligt datalagen (numera personuppgiftslagen).11

Någon uttrycklig skyldighet för Finansinspektionen att värna om enskildas personliga integritet i kreditupplysnings- och inkassosammanhang finns inte enligt instruktionen eller i de lagar till vilka den hänvisar. Vid kreditupplysningslagens tillkomst påpekade dock departementschefen att den tillsyn som utövades av Bankinspektionen (numera Finansinspektionen) var av betydelse för de aktuella kreditinrättningarnas kreditupplysningsverksamhet och han framhöll därvid att även om denna tillsyn i första hand var inriktad på att se till att

9Prop. 1974:42 s. 96. 10Prop. 1996/97:65 s. 36 f. 11Prop. 1996/97:65 s. 36.

insättarnas intressen togs till vara, den också torde innebära en viss garanti för värnandet av låntagares och kreditsökandes personliga integritet.12

Det uppdelade ansvaret för tillsyn inom inkassoområdet har, bl.a. på grund av att de två myndigheterna Datainspektionen och Finansinspektionen har två helt olika grundläggande målsättningar för sin verksamhet, fått till följd att det är stora skillnader mellan hur tillsynsverksamheten bedrivs i praktiken. Datainspektionen utreder i princip varje klagomål och andra ärenden enligt lagen i särskild ordning. Finansinspektionen, vars verksamhet syftar till stabilitet på finansmarknaden, låter i stället ärendena enligt inkassolagen handläggas tillsammans med inspektionens övriga tillsynsärenden. Inkassofrågorna får härigenom jämförelsevis betydligt mindre genomslag i Finansinspektionens tillsynsverksamhet.

Detta talar för att ansvaret för tillstånd och tillsyn enligt inkassolagen bör läggas på en och samma myndighet.

Vad som särskilt talar för att Finansinspektionen är en lämplig myndighet att ta över uppgifterna enligt de båda lagarna är att myndigheten har särskilda kunskaper om kreditinstituten och kreditmarknaden i stort. Särskilt kreditupplysningsverksamhet har ett påtagligt samband med kreditbedömning och annan finansiell verksamhet, men detta gäller även för inkassoverksamhet.

Såväl kreditupplysningslagen som inkassolagen har vidare ett tydligt inslag av konsumentskydd. Även mot bakgrund härav kan Finansinspektionen ses som en lämplig myndighet, eftersom Finansinspektionen har som särskild uppgift att verka för ett gott konsumentskydd. Finansinspektionen samarbetar för övrigt med Konsumentverket t.ex. inom ramen för Konsumenternas bank- och finansbyrå.

Lagtekniskt ser utredningen inte något hinder mot att föra över ansvaret för tillstånd och tillsyn enligt såväl kreditupplysningslagen som inkassolagen från Datainspektionen till Finansinspektionen. Det bör vidare vara möjligt att flytta ansvaret för lagstiftningsfrågor som rör kreditupplysnings- och inkassolagarna från Justitiedepartementet, där det ligger i dag, till Finansdepartementet.

Viss del av ansvaret för kreditupplysnings- och inkassoverksamheten vilar som sagts redan i dag på Finansinspektionen. Med hänsyn härtill skulle en överföring, förutom en renodling av Datainspektionens verksamhet, även innebära en koncentration av ansvaret för tillstånd och tillsyn inom området till en myndighet, vilket torde innebära ett mer effektivt resursutnyttjande.

12Prop. 1973:155 s. 125.

Härigenom skulle också befogenheten att ingripa med åtgärder för att åstadkomma rättelse m.m. samlas hos en och samma myndighet, vilket kan antas leda till en mer enhetlig rättstillämpning.

10.3.3. För och emot Konsumentverket

Konsumentverket är enligt förordningen (1995:868) med instruktion för Konsumentverket central förvaltningsmyndighet för konsumentfrågor med huvudansvar för att genomföra den statliga konsumentpolitiken. Övergripande mål för verksamheten skall vara att ge hushållen goda möjligheter att utnyttja sina ekonomiska och andra resurser effektivt, att ge konsumenterna en stark ställning på marknaden, att skydda konsumenternas hälsa och säkerhet och att medverka till att sådana produktions- och konsumtionsmönster utvecklas som minskar påfrestningarna på miljön och bidrar till en långsiktigt hållbar utveckling. I prop. 2000/01:135 framhåller regeringen att som mål för konsumentpolitiken skall därutöver gälla att konsumenterna har tillgång till god vägledning, information och utbildning, det s.k. kunskapsmålet. Konsumentverket skall särskilt inrikta sin verksamhet på åtgärder som rör hushållens baskonsumtion, stöd till konsumentgrupper som av sociala, ekonomiska eller andra skäl är utsatta och att främja konsumentintressena i det internationella samarbetet.

Konsumentverket har inte som primär uppgift att bevaka den personliga integriteten och finansiell verksamhet, även om myndigheten till följd av sin konsumentskyddande verksamhet har viss erfarenhet av att arbeta med dessa frågor. Konsumentverket sysslar inte heller med tillståndsgivning i någon form. Dessa omständigheter talar mot att tillstånds- och tillsynsuppgifterna enligt kreditupplysnings- och inkassolagarna tas över av Konsumentverket.

För Konsumentverket som lämplig myndighet talar i realiteten endast kreditupplysnings- och inkassolagarnas konsumentskyddande funktion.

10.3.4. För och emot Riksskatteverket

Det kan vidare övervägas om Riksskatteverket, som i sin verksamhet främst genom kronofogdemyndigheterna har kontakt med kreditupplysnings- och inkassoverksamhet, kan vara en lämplig myndighet för uppgifterna.

Riksskatteverket är chefsmyndighet inom exekutionsväsendet, i vilket kronofogdemyndigheterna ingår. Kronofogdemyndigheternas

verksamhet med omfattande upplysningsservice enligt offentlighetsprincipen och med indrivning, har likheter med kreditupplysnings- och inkassoverksamhet. Detta förhållande kan möjligen tala för att Riksskatteverket/kronofogdemyndigheterna bör handha tillståndsprövning och utöva tillsyn enligt kreditupplysnings- och inkassolagarna. Å andra sidan kan det uppfattas som stötande att en myndighet, som själv sysslar med liknande verksamhet som skall övervakas skall vara ansvarig för tillsynen inom området. Dessutom inhämtar kreditupplysnings- och inkassoföretagen ett stort antal uppgifter från exekutionsväsendet. Enligt utredningens mening innebär detta att det är olämpligt att Riksskatteverket/kronofogdemyndigheterna tar över uppgifter enligt kreditupplysnings- och inkassolagarna.

10.3.5. Utredningens bedömning

Vid en samlad bedömning anser utredningen att övervägande skäl talar för att tillstånds- och tillsynsuppgifterna enligt kreditupplysnings- och inkassolagarna bör flyttas över till Finansinspektionen.

Såväl kreditupplysnings- som inkassoverksamhet har ett påtagligt samband med kreditbedömning och annan finansiell verksamhet. Finansinspektionens kunskaper om kreditinstitutens speciella problem och om kreditmarknaden i sin helhet kan här vara av stort värde. Samtidigt har området också samband med konsumentskyddsfrågor där Finansinspektionen med sitt särskilda ansvar för konsumentskydd kan fylla en viktig uppgift.

De omständigheter som tidigare talat starkt för Datainspektionen äger inte längre samma bäring.

Det är inte bara inom kreditupplysnings- och inkassoområdena som det finns ett inslag av skydd för den personliga integriteten i lagstiftningen. Detsamma gäller inom flera andra områden utan att det ansetts nödvändigt att Datainspektionen skall ha ett exklusivt ansvar för tillsynen. Datainspektionen kan ändå på ett ändamålsenligt sätt utföra sin uppgift enligt personuppgiftslagen att övervaka skyddet för den personliga integriteten vid behandling av personuppgifter inom det aktuella området.

Att Datainspektionen har lång erfarenhet och stor sakkunskap på området är naturligt, men bör inte tillmätas någon avgörande betydelse. En sådan omständighet hindrar alltid en angelägen renodling av verksamheten för en myndighet som har flera uppgifter, oavsett vilket område det är frågan om.

Som en följd av datorteknikens utbredning kan Datainspektionen inte längre anses ha sådan särskild sakkunskap inom dataområdet som

skiljer sig markant från andra myndigheters. Flera myndigheter måste för sin verksamhet ha mycket goda kunskaper och kvalificerad personal vad gäller informationsteknik. Detta torde särskilt gälla Finansinspektionen som har tillsynsansvar över det branschområde som kanske kommit längst vad gäller användningen av informationsteknik i sin verksamhet.

Erfarenheterna av det i dag delade ansvaret för tillsyn inom inkassoområdet visar tydliga skillnader i den tillsynsverksamhet som kan komma att bedrivas när ansvaret är uppdelat mellan två myndigheter som har olika utgångspunkter för sin verksamhet. Att samla ansvaret hos en myndighet kan leda till ett effektivare tillvaratagande av resurserna och en mer enhetlig tillämpning av ansvar och befogenheter som tillsynsmyndighet.

Genom att ansvaret för tillstånd och tillsyn inom det aktuella området flyttas över till Finansinspektionen åstadkommer man en viktig renodling av Datainspektionens verksamhet. Härigenom tydliggörs också Datainspektionens generella ansvar för skyddet för den personliga integriteten inom samhällets alla områden.

I kapitel 13 presenterar utredningen en modell för avgiftsfinansiering av tillstånds- och tillsynsverksamheten enligt kreditupplysnings- och inkassolagarna. Om en sådan avgiftsfinansiering av verksamheten genomförs i samband med att uppgifterna flyttas över till Finansinspektionen kan detta medföra en resursförstärkning för Datainspektionen utan att medel behöver tillföras myndigheten. Den personal som i dag arbetar med kreditupplysnings- och inkassoverksamhet (ca 2,5 årsarbetskrafter) kan i stället ägna sig åt bl.a. inspektionsinsatser enligt personuppgiftslagen. För Finansinspektionen innebär avgiftsmodellen en finansiering motsvarande den som i dag gäller för myndighetens övriga verksamhet, vilken också är avgiftsfinansierad. Finansinspektionen behöver således inte tillföras resurser som tas från skattemedel.

Sammanfattningsvis ger en överflyttning av de aktuella uppgifterna Datainspektionen ökade resurser för information och inspektion enligt personuppgiftslagen samt möjlighet att koncentrera sin verksamhet till dessa huvuduppgifter och på så sätt förbättra skyddet för den personliga integriteten vid behandling av personuppgifter.

11. Integritetsskydd genom olika former av självreglering

För att förstärka integritetsskyddet i samhället i samband med behandling av personuppgifter bör Datainspektionen mer aktivt stimulera till olika former av självreglering.

Frågor om självreglering bör rutinmässigt väckas i samband med myndighetens inspektionsverksamhet.

Systemet med personuppgiftsombud bör i enlighet med personuppgiftslagens intentioner kraftfullt utnyttjas för att decentralisera ansvaret för skyddet för den personliga integriteten vid behandling av personuppgifter.

Ett ändamålsenligt utnyttjande av personuppgiftsombud bör möjliggöra för Datainspektionen att effektivisera sin tillsynsverksamhet vad gäller inriktning och omfattning, genom att inspektionen därigenom kan sätta in insatser inom de områden där självreglering inte är lämplig och där särskilt känsliga personuppgifter behandlas.

Alla möjligheter till att decentralisera ansvaret för skyddet för den personliga integriteten genom att stimulera fristående aktörer att kontrollera behandlingen av personuppgifter bör utnyttjas. Utbyggd självreglering och en allt större användning av systemet med personuppgiftsombud bör på sikt kunna leda till att Datainspektionens personalresurser kan minskas.

11.1. Datainspektionens ansvar för självreglering i dag

Enligt direktiven skall utredningen analysera möjligheterna för Datainspektionen att mera aktivt stimulera utvecklingen av olika former av självreglering, bl.a. branschöverenskommelser, för att skydda den personliga integriteten framför allt i anslutning till den kraftigt ökande användningen av Internet. Det framhålls i direktiven att en sådan självreglering utgör ett värdefullt komplement till personuppgiftslagen och kan bidra till ett förstärkt integritetsskydd.

Datainspektionen skall enligt 15 § personuppgiftsförordningen, på begäran av en organisation som företräder en väsentlig del av de personuppgiftsansvariga inom en viss bransch eller inom ett visst område, avge yttrande över förslag till branschöverenskommelser vad avser behandling av personuppgifter inom branschen eller området. Yttrandet skall avse branschöverenskommelsens förenlighet med personuppgiftslagen och andra författningar som reglerar den behandling av personuppgifter det är frågan om. Inspektionen skall innan den avger yttrande – om det är lämpligt – se till att organisationer som företräder de registrerade har fått tillfälle att yttra sig över förslagen.

I Datainspektionens rapport ”Effektiv tillsyn” som utarbetades under år 1994 framhålls följande under rubriken Branschriktlinjer. Genom kontakter med personer hos de registeransvariga har det framgått att det ibland råder oklarhet om hur ”datalagens” regler skall tolkas i praktiken. Genom att i förväg definiera hur hanteringen av personregister skall eller bör gå till bildas en konkret utgångspunkt för utveckling av system och program. Datainspektionen skulle med ett sådant normgivningsbemyndigande som aviserats av regeringen (i prop. 1993/94:116) kunna utarbeta normer för hur personregister skall hanteras inom olika branscher. Datainspektionen bör då prioritera branscher där man kan tänka sig att integritetskänsliga personregister återfinns. Normerna utarbetas med fördel i samarbete med företrädare för branschen.

I prop. 1993/94:116 föreslogs att Datainspektionens tillståndsprövning skulle minskas genom att inspektionen gavs möjlighet att utfärda generella bransch- och sektorsföreskrifter, och regler med denna innebörd togs in i regeringsformen och datalagen.

Datainspektionen har även i andra sammanhang framhållit vikten av självreglering. I verksamhetsplanen för Datainspektionens tekniska enhet budgetåret 1994/95 uttalades följande. Tekniska enheten skall aktivt delta i projekt som syftar till utformning av generella branschföreskrifter. Den tekniska enheten skall därvid ta särskilt ansvar för förhandlingar med branschföreträdare som har IT-ansvar och efter sådana kontakter utarbeta generella föreskrifter för IT-säkerhet för branschen ifråga.

Datainspektionen har hittills yttrat sig över två branschöverenskommelser. Yttrandena har avsett dels förslag till branschregler för hantering av personuppgifter m.m. som inhämtas i samband med marknads-, samhälls- och opinionsundersökningar dels förslag till branschregler angående användning av personuppgifter för direktmarknadsföringsändamål. Ytterligare två utkast till branschöverenskommelser granskas för närvarande.

Enligt utredningens mening finns det mycket för Datainspektionen att göra inom detta området i framtiden. Det arbete som utförs av Datainspektionens motsvarighet i Nederländerna kan här tjäna som förebild, se avsnitt 11.5.

11.2. Definition av självreglering

Självreglering är åtgärder i systematiserad form som vidtas av ett företag, en grupp företag, en bransch eller hela näringslivet för att utreda, förebygga eller lösa problem i förhållande till konsumenter eller andra kunder. Självreglering kan bestå av rekommendationer (från t.ex. branschorganisation), gemensam reglering (co-regulation), där myndigheterna utformar reglerna tillsammans med branscherna eller näringslivet, eller egenåtgärder som är självpåtagna av aktörerna.1

Syftet med självreglering för att skydda den personliga integriteten vid användningen av t.ex. Internet är att undvika eller minimera behovet av lagstiftning och annan statlig reglering samt att öka förtroendet för Internet. Självreglering sker dels genom information, etikregler, föreskrifter till nya Internetanvändare och frivilliga överenskommelser, dels genom åtgärder från aktörer på Internet, t.ex. när en Internetoperatör stänger av eller hotar att stänga av en användare på grund av att denne inte följer operatörens regler. Vidare förekommer olika tekniska lösningar där användaren kan definiera sina önskemål om vad som får avslöjas om honom eller henne när han eller hon använder Internet. Även möjlighet att agera anonymt på Internet erbjuds av olika företag.2

11.3. Ändamålet med självreglering

IT-kommissionen har i rapporten 2/2000 (SOU 2000:96) presenterat vissa slutsatser från en hearing om självreglering inom området elektroniska affärer.

I rapporten framhålls att det är bättre att utmana till självreglering än att lagstifta. Det gäller att finna en bra balans mellan lagstiftning och självreglering. Självreglering innebär inte att lagstiftaren kapitulerat, men för att ett självregleringssystem skall utvecklas väl behöver näringslivet utmanas.

1 Självreglering inom elektroniska affärer, IT-kommissionens rapport 2/2000, SOU 2000:96, s. 7. 2 Frivilligt integritetsskydd på Internet, Datainspektionens rapport 1992:2, s. 3.

Utvecklingen inom e-handeln går mycket snabbt, medan den traditionella lagstiftningsprocessen är långsam. I syfte att främja utvecklingen är självreglering ett komplement till lagstiftning. Självreglering anses lättare kunna anpassas till den snabba utvecklingen inom ITområdet och området för elektroniska affärer. Näringslivet anser att egenåtgärder kan bidra till att skapa harmonisering av regelverk på ett sätt som inte är fullt möjligt för lagstiftaren att göra. Det går också att motverka överreglering i de fall där regleringen snarare kan vara till skada än till nytta genom att skapa handelshinder.

Vidare framhålls det internationella perspektivet som är särskilt framträdande när det gäller Internet. Lagstiftning sker ofta på det nationella planet medan elektroniska affärer till sin natur är globala. Globala lösningar är därför eftersträvansvärda.

Som ett viktigt incitament till självreglering framhålls att en sådan reglering kan öka tilliten hos konsumenten. Såväl konsumenter som företagare på Internet har ofta liten kännedom om de lagar och regler som finns. Det behövs därför mera hjälp till självhjälp.

Självreglering måste i grunden gynna såväl konsumenten som företagaren och det bör finnas en bred uppslutning från företagens sida för att systemet skall fungera. Är dessa förutsättningar uppfyllda, kan det leda till bättre konsumentskydd och effektivare tillsyn, men även till ökad goodwill för företagen själva. För företag innebär självreglering att utgå från en kundorientering, dvs. att tänka på hur kunden vill bli bemött i ett seriöst och väl fungerande affärsförhållande. För att skapa förtroende är det också nödvändigt att näringslivet samverkar med myndigheter. Självreglering kan inte ersätta lagar och regler men kan tolka och förtydliga lagen. Den kan ge konsumenterna mer tillgänglig information och på så sätt öka förtroendet. Överenskommelser om självreglering kan inte helt ersätta myndighetens tillsyn.

En viktig faktor för tilliten hos konsumenterna är att det måste finnas ändamålsenliga reklamations- och klagomöjligheter. Att konsumenterna märker att den som bryter mot självregleringen ”straffas” på något sätt är viktigt för förtroendet. Självregleringssystem utan sanktionsmöjligheter är verkningslösa.

Utgångspunkten för självreglering måste vidare vara affärsmässig. En lyckad självreglering skall ur näringslivets perspektiv ha sin grund i eget affärsintresse. Det finns inget värde med en reglering som enbart gagnar näringslivet, utan den måste också ge konsumenterna ökad tillit. Ett självregleringssystem måste vara öppet för alla som vill, kan och accepterar att ansluta sig till regelverket. Det får inte förekomma någon inre krets.

Framgångsfaktorer ur individens perspektiv är framför allt makt åt användaren, t.ex. vad gäller integritetsfrågor. Det är vidare viktigt att

information om regelverk, företag, m.m. skall vara tillgänglig, att individen har kontroll över egen information som personinformation, intresseinformation m.m. och att det föreligger en tydlighet vad gäller spridning av regelverk. Reglerna måste vara allmänt kända.

11.4. Självreglering i USA

I USA har debatten om den personliga integriteten haft nära anknytning till utvecklingen av den elektroniska handeln. Utgångspunkten har härvid varit att den privata sektorn skall leda utvecklingen. Lagstiftning om integritet har därför undvikits. Behovet av lagstiftning har ersatts av självreglering. 3

Vissa kritiker har emellertid hävdat att självregleringen inte fungerat och att lagstiftning krävs för att skydda den personliga integriteten. Samtidigt är den lagstiftning som finns spridd på olika särregleringar och den allmänna integritetslagen behandlar endast relationen mellan staten och individen och upplevs som svag.

Självreglering är således det sätt som i USA hittills har betraktats som det bästa sättet för att skydda den personliga integriteten. Den form av självreglering som varit vanligast förekommande är ”industrisponsrade betrodda tredje parter”. Som ett viktigt komplement till lagregleringar och självreglering genom t.ex. branschöverenskommelser har dessutom olika former av integritetsstödjande teknik tagits fram.

Det främsta exemplet på självreglering och betrodd tredje part är TRUSTe. Organisationen grundades av en intressekoalition inom området elektronisk handel och en ideell integritetsfrämjande organisation. En majoritet av de stora aktörerna på Internetmarknaden är med i programmet. Medlemmarna i programmet underkastar sig en integritetsrevision och lovar att tydligt offentliggöra sin praxis i hanteringen av personuppgifter. Rent praktiskt kontrolleras detta genom att varje medlem får en integritetsrevisor inom TRUSTe som bevakar behandlingen av personuppgifter och hanterar klagomål. TRUSTe genomför också undersökningar av sina medlemmar på basis av klagomål eller på eget initiativ. Dessa undersökningar redovisas på TRUSTes webbplats.

Det förekommer vidare en stor mängd tekniska lösningar som tagits fram för att skydda individens personliga integritet, s.k. privacy

3 Avsnittet bygger i allt väsentligt på en artikel av Nicklas Lundblad, Intergritetsutvecklingen i USA – Självreglering, teknik och lagstiftning, Nätets Juridik, Nordisk Årsbok i Rättsinformatik 1999.

enhancing technologies (PET). Ofta är dessa tekniska verktyg direkta svar på teknik som uppfattas kränka den personliga integriteten.

Det finns en stor mängd olika tekniska svar på frågan om hur man bättre kan skydda den personliga integriteten. Det finns tekniska verktyg som syftar till att endast göra användaren anonym, men det finns också verktyg som i första hand utplånar spåren efter användaren. Det som säkrar den personliga integriteten mest effektivt är utplånandet.

På den amerikanska marknaden i dag finns en mängd kommersiella tjänster och produkter för att skydda den personliga integriteten och en stor mängd företag som erbjuder integritetsstödjande teknik. En närmare beskrivning av de tekniska verktygen återfinns i den under not 3 nämnda artikeln.

11.5. Självreglering i Nederländerna

Nederländernas motsvarighet till Datainspektionen, College bescherming persoonsgegevens (CBP), arbetar efter en handlingsplan som består av fyra punkter; medvetenhet, regelgivning, teknik och verkställande.

CBP framhåller särskilt vikten av att skapa kunskap och medvetenhet hos personuppgiftsansvariga och allmänheten om skyddet för den personliga integriteten. Verksamheten är därför främst inriktad mot att informera berörda parter om adekvata skyddsåtgärder vid behandling av personuppgifter. Enligt myndighetens erfarenhet medför de förebyggande åtgärderna en ökad effektivitet i den egna tillsynsverksamheten.

Inom området regelgivning arbetar CBP med tolkning av gällande lagstiftning, fungerar som regeringens remissinstans vid utarbetande av nya lagar i frågor som rör den personliga integriteten och lämnar råd i olika spörsmål som berör myndighetens område. Det är också en viktig uppgift för CBP att aktivt främja självreglering i olika former. Fram till och med mars 2001 hade myndigheten formellt godkänt tolv olika branschöverenskommelser (codes of conduct).

CBP arbetar för att stimulera till självreglering genom en ständig dialog med olika organisationer och branschföreträdare. Självreglering i form av branschöverenskommelser möjliggör för CBP att koncentrera sin verksamhet till andra viktiga sektorer i samhället. Detta anses särskilt viktigt då resurserna är begränsade i förhållande till omfattningen av myndighetens ansvarsområde.

I takt med att integritetshoten blivit allt mer synliga är det CBP:s uppfattning att många privata företag insett betydelsen av att försäkra

sig om att man behandlar personuppgifter korrekt och utan att orsaka intrång i den personliga integriteten.

I Nederländerna är lokala myndigheter skyldiga att vart tredje år genomgå en kontroll av integritetsskyddet vid deras behandling av personuppgifter. Dessa inspektioner utförs av revisions- och konsultföretagen PricewaterhouseCoopers och Deloitte&Touche samt en nederländsk konsultfirma.

CBP framhåller att informationstekniken inte bara skall ses som ett hot utan också som ett viktigt och positivt verktyg vid behandling av personuppgifter. Myndigheten stimulerar därför bidrag till olika tekniska lösningar till skydd för den personliga integriteten vid behandling av personuppgifter, s.k. privacy enhancing technologies (PET). CBP deltar också i ett EU-projekt benämnt Privacy Incorporated Software Agent (PISA), vars mål är en teknisk lösning för skyddet för den personliga integriteten vid användningen av Internet.

Den verkställande delen av myndighetens arbete består bl.a. i att utföra inspektioner för att kontrollera att behandlingen av personuppgifter i samhället sker i enlighet med gällande lagstiftning.

11.5.1. Privacy Audit Framework

Dataskyddsmyndigheten i Nederländerna stimulerar aktivt och medverkar till framtagandet av olika former av självregleringar. I enlighet härmed har man i samarbete med bl.a. professionella organisationer för revisorer och konsulter utarbetat ett kontrollprogram för inspektion av skyddet för den personliga integriteten, The Privacy Audit Frameweork (PAF).4 Detta kontrollprogram kan användas av olika organisationer för att kontrollera, utvärdera och förbättra säkerheten vid behandling av personuppgifter.

Alla företag i projektet, inklusive de sex största revisionsföretagen i Nederländerna, deltog utan ekonomisk ersättning. Revisionsföretagen i Nederländerna är mycket engagerade i arbetet med skyddet för den personliga integriteten och har specialiserat sig på integritetsfrågor. Totalt var fler än 60 personer engagerade i att utarbeta PAF. Projektet övervakades av representanter för inrikes- och justitiedepartementet, arbetsgivar- och arbetstagarorganisationer och konsumentorganisationer.

4 Ytterligare information om ”The Privacy Audit Framework” och den nederländska dataskyddsmyndigheten kan fås på myndighetens hemsida <http://www.cbpweb.nl>.

The Privacy Audit Framework är avsett att användas av olika organisationer som på eget initiativ vill kontrollera hur deras behandling av personuppgifter lever upp till den holländska motsvarigheten till personuppgiftslagen, Wet bescherming persoonsgegevens (WBP). WBP trädde i kraft den 1 september 2001 och implementerar dataskyddsdirektivet i holländsk lagstiftning.

Innehållet i PAF motsvaras av de olika former av kontroll som CBP utför i samband med sina egna tillsynsinsatser, och skall användas som utgångspunkt i myndighetens fullskaliga inspektioner.

PAF består av tre olika nivåer av kontroll, varav den högsta, The Privacy Audit (PA), medför att ett integritetsskyddscertifikat (privacy certificate) kan utfärdas om den kontrollerade organisationen uppfyller de uppställda kraven.

På den lägsta nivån (”Quick-scan”) består kontrollprogrammet av tretton frågor som berör säkerheten vid behandling av personuppgifter. Frågorna avser att förbättra medvetenheten i organisationen och ge en översiktlig beskrivning av om behandlingen sker i enlighet med regelverket för behandling av personuppgifter. Metoden kan användas av vem som helst som arbetar i organisationen.

Nästa steg (”Self-assessement”) är främst avsett att användas av företagsledningen för att utvärdera skyddsnivån vid behandling av personuppgifter. Metoden skall tillämpas i första hand av tjänstemän som har kunskap om integritetsskyddslagstiftning och vana vid att arbeta med IT inom organisationen. Utvärderingen består av nio områden indelade efter tillämpliga dataskyddsregler. Resultatet av utvärderingen ger en tydlig bild av integritetsskyddet och utvisar vilka uppföljande åtgärder som måste vidtas. Utvärderingen kan genomföras internt, men organisationen kan också överlåta arbetet på en utomstående expert.

Den tredje och högsta nivån, ”Privacy Audit” (PA), är avsedd att utgöra en fullständig inspektion och utvärdering av skyddet för den personliga integriteten vid behandling av personuppgifter inom organisationen. Inspektionen skall också utföras av en auktoriserad revisor.

Ändamålet med PA är att undersöka i vilken utsträckning organisationens behandling av personuppgifter sker i enlighet med lagreglerna (WBP) och vilka eventuella åtgärder som måste vidtas för att försäkra sig om att behandlingen sker med iakttagande av skyddet för den personliga integriteten.

PA är särskilt framtagen för revisorer med ansvar för integritetsskyddskontroll. Etablerade revisionsföretag förväntas visa intresse för att genomföra dessa utvärderingar, och resultaten skall kunna användas av CBP som underlag för den egna inspektionsverksamheten.

Det förutsätts att den som utför egentillsynen enligt PA har kunskaper om revision i allmänhet och tillsyn av personuppgiftsbehandling i synnerhet samt om gällande rätt inom området. Det är här i första hand fråga om ekonomiska revisorer och IT-revisorer auktoriserade av nationella organisationer för revisorer. Det är inte CBP som auktoriserar de revisorer som skall utföra inspektionerna enligt PA.

PA erbjuder inte en skräddarsydd lösning för varje organisation utan en särskild tillsynsplan måste utarbetas. PA innehåller en handledning för upprättande av en sådan plan. CBP har också utarbetat en rapport som beskriver de nödvändiga skyddsåtgärder som måste iakttas vid behandling av personuppgifter i olika situationer och som kan användas som underlag vid kontrollen.

PA är avsedd att utgöra grunden för att ett integritetsskyddscertifikat (privacy certificate) skall kunna utfärdas av en erkänd och oberoende kontrollant (auditor). Det finns därutöver särskilda regler (certification scheme) om vilka krav den personuppgiftsansvarige också måste uppfylla för att erhålla ett certifikat.

Genom att en organisation erhåller ett integritetsskyddscertifikat kan den visa för utomstående att organisationen behandlar personuppgifter med omsorg och i enlighet med lagens regler. Ett sådant certifikat kan vara av betydelse för såväl den som behandlar ett stort antal personuppgifter med liten risk för intrång i den personliga integriteten som den som behandlar ett litet antal personuppgifter men där risken för intrång i den personliga integriteten är stor. Intressegrupper kan agera för att en organisation skall skaffa sig ett certifikat.

Även de organisationer som erhållit certifikat kan bli föremål för inspektion från CBP:s sida. Emellertid kommer CBP att ta i beaktande att en organisation har ett certifikat när myndigheten bestämmer om organisationen skall inspekteras och vilken omfattning inspektionen i så fall skall ha.

De närmare bestämmelserna för integritetsskyddscertifikatet håller alltjämt på att utarbetas. Endast de revisorer som lever upp till högt ställda krav kommer att få utfärda certifikat. CBP har ingen formell status i utfärdandet av certifikaten men deltar i utvecklingen av systemet i sin egenskap som ansvarig tillsynsmyndighet. Det är i tillsynsmyndighetens intresse att certifieringen omfattas av ändamålsenliga kvalitetskrav.

Motiven för en organisation att genomgå kontrollprogrammet kan vara ekonomiska eller marknadsföringsmässiga. Behandling i strid med gällande lagstiftning kan resultera i skadeståndskrav. Om man i stället kan visa upp en korrekt behandling av personuppgifter kan detta skapa

goodwill för företaget och således ha ett kommersiellt värde. CBP stimulerar aktivt enskilda organisationer och bransch- och paraplyorganisationer att genomföra självreglering.

11.6. Personuppgiftsombud

En form av decentralisering av ansvaret för integritetsskyddet är det nya systemet med personuppgiftsombud.

Personuppgiftsombudet har till uppgift att kontrollera att den personuppgiftsansvariges behandling av personuppgifter sker på ett korrekt och lagligt sätt, att föra företeckning över behandlingar och att hjälpa registrerade att få rättelse. Det är dock alltid den personuppgiftsansvarige som har det yttersta ansvaret för all behandling även om denne har utsett ett ombud.

Det är frivilligt att ha ett personuppgiftsombud. Tanken bakom institutet med personuppgiftsombud är dock att ombudet skall vara en tillgång för den personuppgiftsansvarige när det gäller integritetsskydd vid behandling av personuppgifter.

En personuppgiftsansvarig som utser ett personuppgiftsombud skall anmäla detta till Datainspektionen. Om den personuppgiftsansvarige har anmält ett personuppgiftsombud till Datainspektionen behöver den personuppgiftsansvarige inte anmäla behandlingar av personuppgifter till Datainspektionen. Anmälan för förhandskontroll av vissa typer av integritetskänslig behandling är emellertid obligatorisk.

Personuppgiftsombudet skall på ett oberoende sätt se till att den personuppgiftsansvarige följer bestämmelserna i personuppgiftslagen och anknytande lagstiftning. Det finns inga formella krav på att personuppgiftsombudet skall ha särskilda kvalifikationer. I personuppgiftsombudets självständiga ställning ligger dock att denne måste ha tillräckliga kvalifikationer och kunskaper för att kunna utföra sina uppgifter. Enligt Datainspektionens rekommendationer är det lämpligt att personuppgiftsombudet har eller ges möjlighet att inhämta goda kunskaper om personuppgiftslagen och andra författningar som kan vara tillämpliga för behandlingar hos den personuppgiftsansvarige. Personuppgiftsombud måste också ha god kännedom om den personuppgiftsansvariges organisation och verksamhet och ha möjlighet att sätta sig in i och förstå hur personuppgifter behandlas där. Grundläggande kännedom om IT är också till hjälp i ombudets arbete.

Personuppgiftsombudet skall fungera som Datainspektionens förlängda arm. Om personuppgiftsombudet upptäcker brister i personuppgiftsbehandlingen bör ombudet i första hand påpeka detta för den personuppgiftsansvarige. Om denne inte vidtar rättelse så snart det kan

ske är personuppgiftsombudet skyldigt att anmäla bristerna till Datainspektionen.

Personuppgiftsombudet skall också samråda med Datainspektionen vid tveksamhet om hur de bestämmelser som gäller för behandlingen skall tillämpas.

Personuppgiftsombudet har till uppgift att föra förteckning över de behandlingar som den personuppgiftsansvarige genomför och som skulle ha omfattats av anmälningsskyldigheten om personuppgiftsombud inte utsetts. Ombudet skall också hjälpa registrerade att få rättelse när det finns anledning att misstänka att behandlade personuppgifter är felaktiga eller ofullständiga. I uppgiften ingår att se till att felaktiga eller missvisande uppgifter rättas, blockeras eller utplånas, även om det inte är nödvändigt att personuppgiftsombudet rent praktiskt utför själva rättelsearbetet och därmed sammanhängande arbetsuppgifter.

Personuppgiftsombudets funktion medför enligt utredningens uppfattning att ombuden övertar en viss del av de uppgifter och det ansvar som i dag ligger på Datainspektionen. Detta bör enligt utredningens mening på sikt kunna leda till att Datainspektionens personalresurser kan minskas (se vidare avsnitt 8.7).

11.7. Behovet av självreglering och annan decentralisering av integritetsskyddet

I kapitel 6 har utredningen givit exempel på varför det är viktigt att den personliga integriteten skyddas vid behandling av personuppgifter, samt berört hur detta skydd skall åstadkommas. Klart är att lagstiftning och Datainspektionen med sin uppgift som tillsynsmyndighet fyller den centrala rollen i detta sammanhang.

Framför allt två omständigheter för emellertid med sig att enbart lagstiftning och tillsyn inte är tillfyllest för att helt uppfylla målet att tillförsäkra medborgarna ett fullgott skydd mot intrång i den personliga integriteten.

För det första gör den snabba tekniska utvecklingen att statsmakterna har svårt att hinna anpassa lagstiftningen till den faktiska verkligheten. Behovet av självreglering måste ställas i relation till det skydd för den personliga integriteten som den befintliga lagstiftningen ger. Den allmänna uppfattningen är att lagstiftningens brister ligger i att den har svårt att hänga med i den tekniska utvecklingen. Här ses självreglering som ett bättre alternativ.

För det andra kan tillsynen över behandlingen av personuppgifter i samhället aldrig vara heltäckande. Den omfattande behandlingen av personuppgifter och Datainspektionens stora ansvarsområde medför att Datainspektionen inte kan kontrollera allt.

Dessa två omständigheter leder till slutsatsen att även andra medel för skyddet för den personliga integriteten måste användas. Det gäller då bl.a. att försöka engagera så många som möjligt att ta ett självständigt ansvar för en korrekt behandling av personuppgifter. Ansvaret för skyddet för den personliga integriteten måste med andra ord decentraliseras i så stor utsträckning som möjligt.

Här har Datainspektionen enligt utredningens uppfattning en viktig funktion att fylla. Datainspektionen bör i sitt framtida arbete med att stimulera till självreglering och engagera nya aktörer inom integritetsskyddsområdet kunna dra stor nytta av det arbete som sedan en tid har pågått i Nederländerna (se avsnitt 11.5).

Olika former av självreglering växer redan i dag fram inom ramen för en ökad användning av Internet. Ett företag kan t.ex. genom att frivilligt ansluta sig till ett integritetsprogam som erbjuds av en del organisationer, på sin hemsida få ett intyg som visar att det hanterar personuppgifter enligt vissa principer.

Ett viktigt skäl till att självreglering används är alltså att skapa förtroende hos konsumenter på Internet. Oro för intrång i den personliga integriteten kan medföra att enskilda undviker att vända sig till ett visst företag. Detta förhållande ger möjlighet för Datainspektionen att stimulera till ett frivilligt integritetsskydd. Självreglering som är utformad i samarbete med Datainspektionen kan medföra goodwill och ett större förtroende genom myndighetens auktoritet.

Det är viktigt att Datainspektionen tar varje tillfälle i akt att uppmuntra till olika former av självregleringar. Genom Datainspektionens aktivitet på fältet, bl.a. i form av inspektioner av behandling av personuppgifter, kan myndigheten få underlag till bedömningar av inom vilka områden det är lämpligt med självreglering. I den mån det är lägligt bör Datainspektionen även vid själva inspektionstillfället utnyttja möjligheten att uppmuntra till självreglering.

Branschöverenskommelser är i detta sammanhang en betydelsefull form av självreglering. Det är emellertid viktigt att begreppet självreglering uppfattas som betydligt vidare än så. Alla former av organisationer, allt från tydliga branschorgan, och mer löst sammansatta organisationer till enskilda företag, bör uppmuntras att se över sin behandling av personuppgifter och att utarbeta en målsättning och helst regler för skyddet för den personliga integriteten. Det är viktigt att påpeka att detta gäller i lika hög grad för myndigheter inom både den statliga och kommunala sektorn. Vidare kan formerna för kontrollen av

personuppgiftsbehandlingen bestå i allt från mer eller mindre fullständiga regelverk till utseendet av ett personuppgiftsombud. Det bör i framtiden vara naturligt för varje organisation att utse ett personuppgiftsombud, framför allt bör detta krav kunna ställas på offentliga organ. Varje sådan form av övervägande kring behandlingen av personuppgifter kommer att leda till att skyddet för den personliga integriteten stärks. Enligt utredningens mening är det mycket viktigt att det allmänna medvetandet om integritetsskydd i samband med behandling av personuppgifter höjs.

En form av självreglering är vidare de olika tekniska lösningar som skapas i samband med användningen av Internet, t.ex. möjligheter att vara anonym. Särskilt i USA har man valt att inte enbart reglera den nya tekniken juridiskt, utan även försökt att hitta olika tekniska lösningar som skyddar den personliga integriteten. I stället för att koncentrera sig på de rättsliga aspekterna av den nya tekniken inriktar man sig i allt större utsträckning på att ta fram och lansera ny teknik som skyddar den personliga integriteten.

Datainspektionens möjligheter att aktivt stimulera utvecklingen av frivilligt integritetsskydd genom olika former av självreglering har på detta sätt en mycket nära anknytning till inspektionens ansvar för att aktivt följa teknikutvecklingen ur ett integritetsperspektiv.

Vad gäller det sistnämnda ansvaret kan man i och för sig hävda att Datainspektionen i första hand är en juridisk myndighet som inte kan ha kontroll över den omfattande tekniska utvecklingen i informationssamhället. Samtidigt medför dock den tekniska utvecklingen, med både hot mot och möjligheter till skydd för den personliga integriteten, att Datainspektionen med sin uppgift att skydda människors personliga integritet måste ha mycket goda tekniska kunskaper. Dessa tekniska kunskaper måste naturligtvis omfatta såväl vilka hot mot den personliga integriteten som den tekniska utvecklingen för med sig som vilka tekniska möjligheter till skydd som samtidigt utvecklas på marknaden.

Personuppgiftsombuden har som kontrollanter av att de personuppgiftsansvariga behandlar personuppgifter i enlighet med personuppgiftslagens regler en mycket viktig funktion att fylla. Personuppgiftsombudens ansvar torde i de flesta fall borga för ett gott integritetsskydd. Personuppgiftsombuden beskrivs ju också som ”Datainspektionens förlängda arm”.

Ett önskemål är att alla personuppgiftsansvariga vars verksamhet är av viss omfattning utser ett personuppgiftsombud. En utbredd användning av systemet med personuppgiftsombud bör kunna få betydelse för omfattningen av och inriktningen på Datainspektionens tillsynsverksamhet och i förlängningen skapa förutsättningar att

begränsa inspektionens resurser utan att integritetsskyddet därigenom äventyras. I synnerhet bör systemet medföra att Datainspektionen kan koncentrera sina resurser på inspektioner hos personuppgiftsansvariga, vars behandling av personuppgifter medför de allra största riskerna för intrång i den personliga integriteten.

12. Ansvar att följa teknikutvecklingen ur ett integritetsperspektiv

Utöver juridiska kunskaper krävs att Datainspektionens personal skall ha god insikt i informationsteknik.

Inspektionens tekniska kompetens skall i första hand användas för att sköta de primära uppgifterna i tillsynsverksamheten.

Datainspektionen bör bland sina anställda ha personer med examen på högskolenivå inom IT-området. Därutöver bör det finnas åtminstone en person i varje arbetslag inom inspektionsverksamheten med goda tekniska kunskaper. Det innebär att andelen anställda med teknisk kompetens bör öka i förhållande till läget i dag. En idealsituation är att anställda besitter kunskap inom såväl integritetslagstiftningen som informationstekniken.

Nivån på de tekniska kunskaperna skall som utgångspunkt motsvara s.k. beställarkompetens, dvs. Datainspektionen måste veta när den egna kompetensen inte räcker till och externa resurser därför måste anlitas. Inspektionen bör också samråda med andra myndigheter i frågor som rör IT-säkerhet.

Datainspektionens ansvar att följa teknikutvecklingen ur ett integritetsperspektiv innebär en skyldighet för myndigheten att slå larm vid integritetshot och i egenskap av remissinstans bevaka integritetsskyddet i samband med ny lagstiftning m.m.

Datainspektionen har i dag bl.a. till uppgift att följa och beskriva utvecklingen inom IT-området när det gäller frågor som rör integritet och ny teknik. I direktiven framhålls att den snabba tekniska utvecklingen innebär nya integritetsrisker och i många avseenden ändrade förutsättningar för arbetet med att värna enskildas personliga integritet. Utredningen har mot bakgrund härav fått i uppdrag att analysera möjligheterna att ge Datainspektionen ett tydligare ansvar för att aktivt följa teknikutvecklingen ur ett integritetsperspektiv och bedöma i vilken utsträckning en sådan roll kräver förändringar i inspektionens kompetensprofil.

12.1. Datainspektionens uppgift

Datainspektionen skall enligt sin instruktion följa och beskriva utvecklingen inom IT-området när det gäller frågor som rör integritet och ny teknik. Enligt regleringsbrevet för myndigheten har Datainspektionen dock inte något särskilt återrapporteringskrav vad gäller utvecklingen inom IT-området, förutom att inspektionen skall avge en allmän bedömning av verksamhetens effekter och eventuella behov av åtgärder.

Datainspektionens verksamhet skall vara inriktad på information och inspektion. Ansvaret för att följa utvecklingen inom IT-området är således främst kopplat till att inspektionen har tillräckligt goda tekniska kunskaper för att kunna genomföra sina inspektionsinsatser på ett ändamålsenligt och fullgott sätt och till att myndigheten kan informera om de integritetsrisker som utvecklingen av ny teknik för med sig.

Redan i personuppgiftslagen förutsätts Datainspektionen ha goda kunskaper om den tekniska utvecklingen vad gäller skyddet för den personliga integriteten.

Den personuppgiftsansvarige skall enligt 31 § personuppgiftslagen vidta de tekniska och organisatoriska åtgärder som krävs för att skydda de personuppgifter som behandlas. Åtgärderna skall företas med beaktande av bl.a. de tekniska möjligheter – fysiska och logiska säkerhetshjälpmedel – som finns tillgängliga på marknaden, och utifrån dessa skall den personuppgiftsansvarige utforma lämpliga rutiner m.m.

De allmänt hållna reglerna om säkerhet beskriver de överväganden som måste göras i fråga om säkerhetsåtgärder. Reglerna ger emellertid inte tillräcklig vägledning för den personuppgiftsansvarige att avgöra vilka säkerhetsåtgärder som bör vidtas i det enskilda fallet. Avsikten är därför att Datainspektionen skall meddela de närmare föreskrifter om säkerhetsåtgärder som behövs. Datainspektionen bör också kunna lämna råd i säkerhetsfrågor.1

Enligt 32 § personuppgiftslagen får Datainspektionen således besluta om säkerhetsåtgärder som den personuppgiftsansvarige skall vidta. I förarbetena framhålls att säkerhetsbrister är oacceptabla och att det är viktigt att tillsynsmyndigheten har tydliga befogenheter just när det gäller säkerheten. Genom ett beslut i det enskilda fallet får den personuppgiftsansvarige preciserat exakt vilka åtgärder han eller hon måste vidta för att uppfylla säkerhetskraven.2 Ansvaret för behandlingen av personuppgifter åvilar dock alltjämt den personuppgiftsansvarige.

1SOU 1997:39 s. 410. 2Prop. 1997/98:44 s. 92.

Datainspektionen har gett ut allmänna råd om säkerhet vid behandling av personuppgifter. Råden riktar sig till dem som behandlar personuppgifter enligt personuppgiftslagen. Råden är inte bindande, men utgör rekommendationer om hur de bindande kraven i personuppgiftslagen om säkerhet kan uppnås.

12.2. Datainspektionens behov av teknisk kompetens inom IT-området

Omfattande behandling av personuppgifter sker hos statliga myndigheter. Det är emellertid inte bara behandlingen hos statliga myndigheter som utgör hot mot den personliga integriteten utan även den omfattande behandling av personuppgifter som sker inom allt fler samhällsområden och inte minst vid handeln på Internet.

Det utvecklas ständigt nya tekniska möjligheter som både medför hot mot och utgör skydd för den personliga integriteten. Det är därför viktigt att Datainspektionen fokuserar på denna utveckling av informationstekniken och att det inom myndigheten finns anställda med goda tekniska kunskaper. Det krävs medarbetare som har förmåga att uppmärksamma de hot mot den personliga integriteten som kan uppkomma vid användning av ny teknik och som kan sprida information om hur man kan skydda sig mot intrång. Mycket viktigt är också att det finns kompetens att snabbt tillgodogöra sig nya tekniska lösningar som skyddar den personliga integriteten.

Goda tekniska kunskaper hos Datainspektionen är som framhållits i avsnitt 11.7 även väsentligt för myndigheten i dess uppgift att stimulera till ökad självreglering i samhället.

Datainspektionen behöver inte bara rent teknisk kompetens, utan måste också kunna se konsekvenser av teknikutvecklingen och dess påverkan på samhället. Det måste hos inspektionen finnas en förmåga att göra en omvärldsanalys, och att dra slutsatser av den tekniska utvecklingen och dess betydelse för integriteten och människors vardag. Det är viktigt att myndigheten kan göra övergripande bedömningar.

Den personal som i första hand står för den tekniska kunskapen inom myndigheten skall kunna koppla ihop den tekniska utvecklingen med de risker för den personliga integriteten som denna kan föra med sig. Nya former för behandling av personuppgifter som innebär risker för otillbörliga intrång i den personliga integriteten bör föranleda de tekniskt kunniga att slå larm, så att Datainspektionen tidigt kan vidta nödvändiga åtgärder.

Informationstekniken utgör emellertid ett område i ständig och mycket snabb förändring. Det går inte att kräva att Datainspektionen skall ha en fullständig bevakning av utvecklingen inom hela det informationstekniska området eller spetskompetens inom varje del av området. Det kan inte vara Datainspektionens uppgift att ligga i frontlinjen när det gäller kunskap om den tekniska utvecklingen. Denna uppgift bör i första hand ligga på landets universitet och högskolor. Det finns naturligtvis också företag som ligger långt fram inom detta område och som kan fylla en viktig funktion när det gäller att följa och beskriva den tekniska utvecklingen.

Utöver traditionell rättslig sakkunskap behöver Datainspektionen i första hand insikter i informationsteknik och informationssystem, särskilt med tonvikt på informationssäkerhet.

Nivån på Datainspektionens tekniska kompetens bör i första hand motsvara s.k. beställarkompetens. Det gäller med andra ord för Datainspektionen att veta när den egna kompetensen inte räcker till och när man således är tvungen att anlita externa resurser för att klara de uppgifter man själv inte kan utföra på ett fullgott sätt. Vid behov bör Datainspektionen hyra in konsulter.

Det är vidare viktigt att Datainspektionen utnyttjar den kompetens som finns hos andra offentliga organ. Användningen av informationsteknik är utbredd och alla myndigheter är tvungna att ha ingående kunskaper om den teknik och de olika system som används inom den egna verksamheten. Inspektionen bör därför använda möjligheten att samråda med andra myndigheter, bl.a. i frågor som rör IT-säkerhet.

Inspektionen måste emellertid bland sina anställda ha personer som har informationsteknisk kompetens som motsvarar examen på högskolenivå. Datainspektionen har i dag endast tre anställda, med olika bakgrund, som har teknisk kompetens. Enligt utredningens mening bör Datainspektionen förstärka sin kompetens vad gäller informationsteknik.

Andelen anställda med teknisk kompetens bör således vara större än i dag. Ett önskemål är givetvis att en så stor del av de anställda som möjligt besitter såväl juridisk som teknisk kompetens. Jurister med rättsinformatik som sitt specialområde kan därför var en lämplig grupp att rekrytera personal från.

I större utsträckning bör också inspektioner genomföras av personal med teknisk kompetens. Informationstekniskt kunnig personal bör alltid finnas med vid inspektionerna. Inspektioner bör endast i undantagsfall utföras av enbart juridiskt kunnig personal.

Den tekniska kompetensen är viktig för att undersöka hur olika datorsystem fungerar och hur personuppgiftsbehandlingen rent faktiskt går till. Många gånger torde det vara lämpligt att den tekniskt kunniga

personalen utför inspektioner själv. Med det underlag som personalen sedan presenterar i form av rapporter och dylikt kan myndighetens jurister i efterhand fatta beslut om vilka åtgärder som eventuellt måste vidtas.

En jämförelse kan göras med skattemyndighetens sätt att arbeta. När en skattemyndighet i sin verksamhet reviderar företag genomförs detta regelmässigt av skatterevisorer och andra ekonomer. Skattemyndighetens beslut i anledning av den genomförda revisionen fattas sedan med upplysningar från revisionen som underlag. De juridiska bedömningarna görs med andra ord i efterhand av jurister som inte varit med på fältet. På liknande sätt arbetar för övrigt dataskyddsmyndigheten i Spanien, jämför avsnitt 4.6.8.

13. Datainspektionens framtida finansiering

Datainspektionens verksamhet bör till stor del finansieras genom skattemedel, eftersom sambandet mellan vissa verksamheter och de som skulle kunna komma ifråga att betala är för svagt för att avgifter skall kunna tas ut.

Verksamheten kan dock delvis finansieras genom avgifter som tas ut av dem som drar nytta av myndighetens verksamhet och av dem som föranleder inspektionen arbete. Utredningen lämnar emellertid inget förslag till avgiftsfinansiering utan presenterar endast de modeller för finansiering som utredningen anser vara mest acceptabla.

En avgiftsfinansiering av Datainspektionens tillsynsverksamhet kan ha mycket positiva styrningseffekter. Det kan därför finnas skäl för Datainspektionen att debitera en avgift per timma för den renodlade inspektionsverksamheten och att ta ut en avgift för anmälningar enligt personuppgiftslagen om behandling av personuppgifter.

Tillstånds- och tillsynsverksamheten enligt kreditupplysnings- och inkassolagarna kan också finansieras genom avgifter.

Även i fortsättningen bör avgifter tas ut för myndighetens informationsmaterial, konferenser och föreläsningar.

13.1. Inledande utgångspunkter

Datainspektionens verksamhet har tidigare kunnat finansieras genom det system med licens- och tillståndsavgifter som tillämpades i anslutning till datalagen. I och med personuppgiftslagen har licens- och tillståndssystemet upphört och därmed finns denna finansieringskälla inte längre. Datainspektionen har tidigare också tagit ut avgifter för handläggning av tillståndsärenden enligt kreditupplysnings- och inkassolagarna. Även denna form av finansiering upphörde i samband med att avgifterna för handläggningen enligt datalagen avskaffades.

I direktiven anges särskilt att utredningen skall analysera formerna för den fortsatta finansieringen och möjligheterna att helt eller delvis finansiera Datainspektionens framtida verksamhet med avgiftsintäkter.

Bakgrund till utredningens överväganden i fråga om finansieringen av Datainspektionens verksamhet finns i kapitel 5. Utredningen har därutöver haft underhandskontakter med Ekonomistyrningsverket vad gäller frågor om vilka krav som måste vara uppfyllda för avgiftsfinansiering i allmänhet, för- och nackdelar med avgiftsfinansiering och lämpligheten av de överväganden som utredningen presenterar i detta kapitel.

13.2. Allmänna förutsättningar för avgiftsfinansiering av Datainspektionens verksamhet

Vid en prövning av förutsättningarna för finansiering av Datainspektionens verksamhet på annat sätt än genom anslag via statsbudgeten uppkommer flera frågor. För att avgöra om en avgiftsfinansiering är möjlig bör ställning särskilt tas till vem som skall betala avgifterna och för vilka delar av sin verksamhet Datainspektionen kan ta betalt. Man måste mot bl.a. den bakgrunden också överväga om det ur principiell synvinkel är lämpligt att alls finansiera Datainspektionens verksamhet med avgifter. Svaren på frågorna visar om det finns förutsättningar för att finansiera hela eller kanske bara delar av myndighetens verksamhet via avgifter.

13.2.1. Av vem och för vad kan avgifter tas ut?

Av vem kan Datainspektionen ta ut avgifter?

Vid bedömningen av om det finns förutsättningar för avgiftsfinansiering är den första frågan som bör ställas vem som bör betala för Datainspektionens verksamhet. Det framstår som naturligt för utredningen att Datainspektionens verksamhet bekostas av dem som utnyttjar inspektionens tjänster eller förorsakar myndigheten arbete och kostnader.

När Datainspektionen tillhandahåller informationsmaterial och håller konferenser eller föreläsningar, är det lätt att identifiera dem som utnyttjar inspektionens tjänster. Det är betydligt svårare att definiera vem som utnyttjar tjänsterna i Datainspektionens tillsynsverksamhet. I

vid mening kan man säga att de företag och myndigheter m.fl. som blir föremål för inspektioner eller annan tillsyn drar nytta av verksamheten, genom att de får information om brister i hanteringen av personuppgifter och råd om hur dessa kan rättas till. Det är emellertid svårt att med detta som enda utgångspunkt argumentera för att de skall betala avgifter till Datainspektionen, inte minst mot bakgrund av att de inte själva har begärt inspektion eller annan tillsyn och att sådan verksamhet kan uppfattas som en belastning för de inspekterade även om de också drar nytta av den.

Det är enligt utredningens bedömning rimligt att främst utgå från dem som föranleder Datainspektionen arbete och kostnader i dess tillsynsverksamhet. Datainspektionen är en statlig tillsynsmyndighet som utövar tillsyn över behandlingen av personuppgifter i samhället. De som förorsakar inspektionen kostnader kan då definieras som alla som behandlar personuppgifter på ett sådant sätt att det faller under inspektionens tillsynsansvar. De som bör kunna komma i fråga för avgiftsuttag för Datainspektionens verksamhet är således främst företag, myndigheter och andra organisationer. I Sverige torde i princip samtliga dessa potentiella tillsynsobjekt behandla personuppgifter i större eller mindre utsträckning. Dessutom kan i vissa fall även enskilda personer utföra behandling av personuppgifter som står under Datainspektionens tillsyn.

Som ett grundläggande krav för avgiftsfinansiering av en myndighets verksamhet gäller att det skall finnas ett samband mellan myndighetens verksamhet och dem som skall betala avgifterna. De som blir skyldiga att betala måste därför vara föremål för någon form av motprestation från myndigheten. Om detta samband är tydligt finns det större skäl för att ta ut avgift än om sambandet är svagt. En avgift som tas ut trots att sambandet mellan myndighetens verksamhet och nyttan för den avgiftsskyldige är svagt, har en tydlig karaktär av skatt.

När det gäller att ta ut avgifter av andra myndigheter föreligger inte några statsrättsliga komplikationer. Regeringen kan alltid bestämma att en myndighet skall ta ut ersättning av andra myndigheter för en viss prestation oavsett om efterfrågan är frivillig eller tvingande. I fråga om avgiftsuttag för tillsyn över privaträttsliga organ gör sig däremot statsrättsliga problem gällande. Att t.ex. införa en avgift som skall betalas av alla som behandlar personuppgifter utgör en skatt som måste beslutas av riksdagen.

För vad kan Datainspektionen ta ut avgifter?

En viktig fråga som måste ställas är för vilka arbetsuppgifter Datainspektionen rimligen kan ta ut avgifter. När det gäller flera av de uppgifter Datainspektionen har, är det enligt utredningens uppfattning svårt att se att de som kan komma att bli betalningsskyldiga har en sådan direkt nytta av verksamheten att det berättigar att en avgift tas ut.

I vissa avseenden är sambandet mellan Datainspektionens verksamhet och nyttan för dem som skall betala för den särskilt svagt. Det gäller t.ex. Datainspektionens arbete med remisser, det omfattande internationella engagemanget inom t.ex. EU och myndighetens arbete med föreskrifter och allmänna råd.

Inom verksamhetsområdet Information tillhandahåller Datainspektionen diverse tjänster som är frivilliga att utnyttja. För sådana tjänster föreligger inget hinder mot att ta ut avgifter, så länge tjänsterna inte omfattas av den allmänna serviceskyldigheten enligt 4 och 6 §§förvaltningslagen (1986:223).

För en del av sitt arbete tar Datainspektionen redan i dag ut avgifter. Myndighetens verksamhet i form av konferenser, föreläsningar, konsultuppdrag och försäljning av publikationer genererade under år 2000 ca 1,2 miljoner kr i intäkter. Dessa tjänster, som är frivilliga att utnyttja, finansierar således endast en mindre del av myndighetens totala verksamhet. De medel som kommer att disponeras av Datainspektionen för myndighetens verksamhet år 2002 uppgår totalt till 30 490 000 kr, varav 29 390 000 kr är tilldelat anslag och 1 100 000 kr är beräknade avgiftsintäkter. På en principiell nivå kan det dessutom diskuteras om Datainspektionen skall ta betalt för sådana tjänster som likaväl kan tillhandahållas av privaträttsliga organ på en konkurrensutsatt marknad. Datainspektionen har t.ex. fått kritik för att deras kurser för personuppgiftsombud förstör utbildningsmarknaden, eftersom de är för billiga. Det har också framhållits att en statlig myndighet inte skall bedriva kommersiell verksamhet. Samtidigt ifrågasätts emellertid varför utbildningarna inte är gratis, med motiveringen att det ingår i myndighetens serviceskyldighet att bedriva denna informationsverksamhet.

En del av myndighetens verksamhet som man kan överväga att avgiftsbelägga är Datainspektionens uppgifter som tillsynsmyndighet enligt personuppgifts-, kreditupplysnings- och inkassolagarna samt inom det internationella polis- och tullsamarbetet. Datainspektionen har även att utöva tillsyn över verksamhet som bedrivs med stöd av ett stort antal registerförfattningar hänförliga till olika myndigheters verksamheter.

När det gäller avgift för tillsynsverksamhet återkommer problemet att det inte alltid finns ett direkt samband mellan den som betalar avgiften och den statliga verksamheten. Det kan däremot ofta finnas ett samband mellan en myndighets verksamhet och den grupp av företag som genom sina avgifter eventuellt finansierar verksamheten. Kollektivet svarar för sambandet, inte de enskilda företagen.

När Datainspektionens verksamhet tidigare finansierades genom avgifter var dessa kopplade till tillstånds- och licenssystemet. Det framstår som mer befogat att ta ut avgift, när en myndighet eller ett företag på eget initiativ vänder sig till Datainspektionen för att utnyttja dess tjänster, även om det på datalagens tid rörde sig om en lagreglerad skyldighet för att få behandla personuppgifter. Detta krav finns inte längre kvar och avgifter för handläggning har också avskaffats i Datainspektionens verksamhet.

Enligt kreditupplysnings- och inkassolagarna gäller emellertid alltjämt att kreditupplysnings- och inkassoverksamhet som huvudregel inte får bedrivas utan myndighetstillstånd. När det gäller verksamhet enligt dessa båda lagar bör det därför vara möjligt att ta ut en avgift kopplad till ansökan om tillstånd. En sådan avgift bör kunna täcka myndighetens hela kostnad för handläggning av ärenden enligt lagarna.

Personuppgiftslagen ställer som nämnts inte något krav på tillstånd för att behandla personuppgifter. Andra vägar får då sökas för att ta ut avgifter för myndighetens verksamhet enligt den lagen. Med den tidigare nämnda utgångspunkten att avgift bör betalas av den som föranleder Datainspektionen arbete och kostnader, ligger det närmast till hands att ta ut avgifter för de anmälningar om behandling av personuppgifter som skall lämnas in till Datainspektionen enligt personuppgiftslagen.

Vidare bör det övervägas om Datainspektionen kan ta ut avgifter för den renodlade tillsynsverksamhet som myndigheten utför enligt personuppgiftslagen, i form av inspektioner av personuppgiftsbehandlingen hos myndigheter och företag. I myndigheters verksamheter behandlas stora mängder av ofta känsliga personuppgifter. Generellt sett medför dessa myndigheters behandling sådana risker för intrång i den personliga integriteten som Datainspektionen särskilt bör fokusera sina insatser på. Utifrån denna utgångspunkt kan det vara befogat att Datainspektionen tar ut en avgift för sin tillsynsverksamhet. Särskilt bör detta gälla i fråga om de myndigheter inom vilkas områden Datainspektionen har ett uttryckligt ansvar för tillsynen, t.ex. inom polis- och tullområdet.

Om avgifter skall tas ut för Datainspektionens inspektionsverksamhet, bör avgifterna enligt utredningens mening endast betalas av dem som Datainspektionen har inspekterat på plats. Genom ett sådant

avgiftssystem kan en direkt kostnadskrävande arbetsprestation från Datainspektionens sida pekas ut för den avgift som tillsynsobjektet blir skyldigt att betala.

13.2.2. Allmänna synpunkter om avgiftsuttag

För att ett system med avgiftsuttag skall införas måste vissa grundläggande krav på utformningen av systemet vara uppfyllda. Allmänt gäller att ett avgiftssystem skall uppfattas som rättvist och vara enkelt och billigt att administrera. Avgifterna bör vara utformade så att de styr de avgiftsskyldiga i önskvärd riktning och systemet skall även i övrigt främja myndighetens verksamhet på bästa sätt. Ett system för avgiftsuttag kan ha både fördelar och nackdelar. Det måste därför vara en helhetsbedömning som ligger till grund för om Datainspektionens verksamhet skall avgiftsfinansieras eller inte.

Fördelar och nackdelar med avgiftsuttag i Datainspektionens verksamhet

Avgifter kan ha positiva effekter i flera avseenden. För det första kan ett avgiftssystem som utformas på ett bra sätt innebära att det uppstår önskvärda styrningseffekter för såväl den myndighet som tar ut avgiften som för dem som skall betala. Vad gäller Datainspektionen kan t.ex. avgifter som riktas mot de tillsynsobjekt som inte har ett personuppgiftsombud medföra att fler företag och myndigheter utser sådana ombud, något som utredningen anser vara önskvärt. En sådan styrningseffekt skulle även avgifter för anmälningar till Datainspektionen enligt personuppgiftslagen kunna ha, eftersom de som har personuppgiftsombud nästan helt slipper att göra sådana anmälningar. Positiva styrningseffekter kan även uppstå för Datainspektionens del om avgifter tas ut i tillsynsverksamheten, eftersom det ekonomiska utfallet av verksamheten kan fungera som en måttstock på myndighetens effektivitet. Inom ramen för Datainspektionens uppdrag enligt regeringens regleringsbrev, kan avgifter även uppmuntra till ökade inspektionsinsatser. Även detta är enligt utredningen eftersträvansvärt, då det är av stor betydelse för integritetsskyddet i samhället att Datainspektionen prioriterar bl.a. inspektioner av särskilt integritetskänsliga behandlingar av personuppgifter.

Det kan emellertid även uppstå oönskade styrningseffekter till följd av att viss verksamhet avgiftsbeläggs. De personer som berörs av en viss myndighetsverksamhet kan exempelvis undvika kontakter med

myndigheten för att därigenom undgå avgifter. Det kan få till följd att information från myndigheten inte når ut och att det uppstår problem med att få kännedom om skilda företeelser i samhället. För Datainspektionens del skulle avgifter i samband med tillsyn och anmälningar kunna få till följd att personuppgiftsansvariga företag inte ger sig till känna, för att på så sätt undvika att betala anmälningsavgifter och att bli föremål för inspektion, som kan leda till fler avgifter.

En positiv effekt med avgifter vid myndighetsutövning kan naturligtvis vara att statskassan tillförs pengar. Detta ställer dock krav på att avgiftssystemet är utformat på ett administrativt effektivt sätt. Ett tungrott system kan innebära att de ekonomiska vinsterna uteblir, men också att en alltför stor del av Datainspektionens arbetstid måste avsättas till att sköta administrationen av avgiftssystemet. När avgifter uppbärs från andra myndigheter genereras det i och för sig inte några pengar till statskassan, men som skäl för ett sådant avgiftsuttag kan anföras att det tydliggör var inom statsförvaltningen kostnaderna verkligen ligger och att man därigenom erhåller en korrekt fördelning av ansvaret för finansieringen.

Ett väl utformat avgiftssystem som uppfattas som rättvist kan ha fördelar genom att skattebetalarnas kostnader minskar och att kostnaderna för Datainspektionen i stället läggs på dem i samhället som är orsak till dessa. En risk är att alla som borde betala inte blir föremål för inspektion och att kostnaden därför, på ett sätt som kan uppfattas som orättvist, endast drabbar en del företag och myndigheter. Det kan också uppfattas som orättvist om de personuppgiftsansvariga som sköter behandlingen av personuppgifter på ett bra sätt måste betala samma avgifter efter en inspektion som de som har misskött sig.

Sammanfattningsvis kan som skäl för avgiftsfinansiering av delar av Datainspektionens verksamhet nämnas att det är rimligt att den som utnyttjar en verksamhet också betalar för den, att avgifter kan öka kostnadsmedvetandet, att avgifter kan ge en positiv statsfinansiell effekt samt att avgifter kan medföra önskvärda styrningseffekter i fråga om de personuppgiftsansvarigas beteende. Som argument mot en eventuell avgiftsfinansiering kan nämnas att avgifter kan medföra negativa styrningseffekter som förhindrar att syftet med myndighetens verksamhet uppnås samt att avgifter kan komma att uppfattas som orättvisa av dem som måste betala.

Utredningens slutsatser

Av redovisningen ovan framgår att det inte är enkelt att peka ut vare sig vem som bör betala avgifter till Datainspektionen eller för vad avgifter

bör tas ut. Mot den bakgrunden framstår inte Datainspektionens verksamhet som allt igenom lämplig för avgiftsfinansiering. I detta sammanhang kan den principiella frågan om vem som har nytta av Datainspektionens verksamhet tas upp som ett argument mot att avgifter alls tas ut. Datainspektionen har till uppgift att värna om skyddet för den personliga integriteten. Det kan alltså hävdas att det är alla människor i Sverige, och inte de företag och myndigheter som kan bli föremål för avgift i anledning av inspektion eller annan åtgärd från myndighetens sida, som har den egentliga nyttan av Datainspektionens tillsynsverksamhet. Med det som utgångspunkt kan det vara naturligt att alla är med och betalar, dvs. att verksamheten precis som i dag finansieras med skattemedel.

I vissa avseenden är dessutom sambandet mellan Datainspektionens verksamhet och nyttan för dem som skall betala för den så svagt att det enligt utredningens mening är uteslutet med avgiftsfinansiering. Det gäller t.ex. det omfattande internationella åtagandet inom t.ex. EU. Det är inte heller berättigat att ta ut avgifter för myndighetens arbete med remisser och med föreskrifter och allmänna råd.

Utredningen anser därför att det är viktigt att markera att Datainspektionens hela verksamhet inte kan finansieras genom avgifter och att det enligt utredningens mening är oundvikligt att inspektionen måste få en betydande del av sin kostnader täckta genom anslag i statsbudgeten. Att stora delar av verksamheten bör finansieras av skattemedel och att det i flera avseenden är svårt att definiera lämpliga avgiftsobjekt, utesluter dock i och för sig inte att en skattefinansiering kan kompletteras med en avgiftsfinansiering. Utredningen har därför i enlighet med sitt uppdrag noggrant övervägt en modell för avgiftsfinansiering av Datainspektionens verksamhet. Syftet med redovisningen nedan i detta kapitel är emellertid inte att lämna ett konkret och i alla detaljer utarbetat förslag, utan att presentera vad utredningen ser som de mest acceptabla alternativen till en ren skattefinansiering. I kapitel 14 redovisar utredningen de ekonomiska konsekvenser som avgiftsmodellerna skulle kunna få.

Enligt utredningens bedömning bör frågan om en eventuell avgiftsfinansiering i första hand behandlas med den utgångspunkten att avgifterna skall ha en styrande effekt. Avgifter skall användas för att åstadkomma önskvärd effektivisering och prioritering av Datainspektionens verksamhet och för att påverka personuppgiftsansvariga att utse personuppgiftsombud och i övrigt behandla personuppgifter korrekt och i enlighet med god sed. Det är enligt utredningens uppfattning därför i första hand myndighetens renodlade inspektionsverksamhet samt verksamhet som efterfrågas frivilligt, t.ex. genom anmälningar och ansökningar om tillstånd, som kan komma i fråga för avgifts-

beläggning. Övriga verksamheter bör även fortsättningsvis finansieras helt med skattemedel. Anslagsfinansiering bör också utgöra basen för myndighetens verksamhet i dess helhet, med eventuella avgiftsintäkter som komplement.

13.3. En möjlig avgiftsfinansiering av verksamheten enligt personuppgiftslagen

13.3.1. Avgifter för inspektionsverksamheten

Grundläggande utgångspunkter

Om avgifter skall tas ut i Datainspektionens verksamhet bör de dels ha sin grund i de faktiska åtgärder som myndigheten vidtar, dels ha en positivt styrande effekt. Vad som enligt utredningens uppfattning i första hand bör kunna bli föremål för avgiftsfinansiering är Datainspektionens renodlade inspektionsverksamhet, dvs. då inspektion sker på plats hos den personuppgiftsansvarige. Såväl myndigheter som privata företag och andra organisationer kan bli föremål för denna form av inspektion och således också avgiftsskyldiga.

Datainspektionens inspektionsverksamhet fyller en mycket viktig integritetsskyddande funktion och det är viktigt för allmänhetens förtroende för lagstiftningen att en ändamålsenlig kontroll äger rum. Det kan mot denna bakgrund vara befogat att myndigheten finansierar dessa inspektioner med hjälp av avgifter.

Det viktigaste skälet för att införa en avgift för Datainspektionens inspektionsverksamhet på plats, är emellertid att avgiften kan ha en positivt styrande effekt. En sådan avgift kan förmå personuppgiftsansvariga att på egen hand förvissa sig om att behandlingen av personuppgifter är korrekt, t.ex. genom att utse personuppgiftsombud, för att på så sätt minimera kostnaderna för åtgärder från Datainspektionens sida. För att ytterligare stimulera att personuppgiftsombud utses kan man dessutom möjligen utforma avgiftssystemet så att avgiften är lägre för personuppgiftsansvariga som har anmält personuppgiftsombud. Rent faktiskt har en sådan ordning fog för sig, eftersom en inspektion torde underlätta för Datainspektionen om det finns ett personuppgiftsombud.

En fördel med avgifter för Datainspektionens inspektionsverksamhet är vidare att regeringen även kan sätta upp mål för verksamheten med utgångspunkt i tillsynsavgiften. Målen kan preciseras mer detaljerat och på ett annat sätt än vad som varit fallet i de senaste reglerings-

breven, i vilka endast angivits att myndighetens tillsynsverksamhet skall bedrivas i minst lika stor omfattning som under de två senaste budgetåren. Uppsatta mål kan dessutom bli lättare att följa upp.

En av de invändningar som kan riktas mot en avgift för Datainspektionens inspektionsverksamhet är att det är tveksamt om det föreligger ett tillräckligt starkt samband mellan tillsynsverksamheten och den grupp av företag och myndigheter som genom sina avgifter skall finansiera verksamheten. Denna omständighet har enbart betydelse i förhållande till de privata tillsynsobjekten. Regeringen kan som nämnts alltid bestämma att en myndighet skall ta ut ersättning av andra myndigheter för en viss prestation oavsett om efterfrågan är frivillig eller tvingande. En stor del av Datainspektionens inspektionsverksamhet riktar sig också mot just myndigheter. Hos myndigheter sker dessutom i regel en omfattande behandling av personuppgifter som ofta är av känslig natur.

Datainspektionens kostnad för tillsyn inom de områden där det föreligger en lagreglerad skyldighet för Datainspektionen att utöva tillsyn bör till viss del kunna betalas av de myndigheter som föranleder arbete för inspektionen och drar nytta av tillsynsåtgärderna. Det gäller t.ex. tillsynen inom polis- och tullområdet enligt Europol-, Schengen- och TIS-konventionerna. En finansieringsmodell av denna tillsynsverksamhet behandlas nedan i avsnitt 13.4. Vad gäller inspektioner inom den privata sektorn kan särskilt noteras att den som betalar avgiften blir föremål för en direkt motprestation i form av faktisk tillsyn.

Som framgått tidigare i betänkandet är det enligt utredningens uppfattning av största vikt att Datainspektionen utnyttjar sina resurser på bästa sätt och inriktar sina inspektioner mot de personuppgiftsansvariga som behandlar speciellt känslig information och mot de verksamheter där det föreligger störst risk för otillbörliga intrång i den personliga integriteten. Det kan därför sägas vara en i viss mån begränsad skara personuppgiftsansvariga som kan komma att bli föremål för inspektion och därmed bli skyldiga att betala avgift för Datainspektionens tillsynsverksamhet.

Datainspektionens förslag att koppla avgiftsskyldigheten till antalet anställda accepterades inte med motiveringen att detta förhållande inte är avgörande för risken för integritetsintrång och därmed inte för behovet av tillsyn (se avsnitt 5.3). Genom att risken för integritetsintrång i vid mening bör vara avgörande för vilka personuppgiftsansvariga som i framtiden skall bli föremål för Datainspektionens inspektionsinsatser, och därmed även avgörande för en eventuell avgiftsskyldighet, anser utredningen att kravet på att det skall finnas ett samband mellan avgiftssystemets utformning och behovet av tillsyn kan iakttas.

Ändamålet med all tillsyn är att tillgodose ett allmänt intresse, nämligen att den kontrollerade verksamheten sker i enlighet med gällande regler, vilket i det här fallet innebär att enskilda är försäkrade om att behandling av personuppgifter inte medför otillbörligt intrång i deras personliga integritet. Härvid skiljer sig inte Datainspektionens tillsyn från den som sker av andra tillsynsmyndigheter. Till exempel är det huvudsakliga ändamålet med Finansinspektionens verksamhet, vilken för övrigt är finansierad med avgifter som tas ut av bl.a. bankföretag, att bidra till det finansiella systemets stabilitet och effektivitet. Också Datainspektionens verksamheten ligger i högsta grad i allmänhetens intresse. För att undvika tveksamhet om det är fråga om en offentligrättslig avgift eller inte bör riksdagen fastställa kriterierna för avgiftsuttaget.

Närmare om utformningen av ett avgiftssystem

Små organisationer och organisationer som endast i begränsad och en från integritetssynpunkt harmlös omfattning behandlar personuppgifter, bör enligt utredningens mening inte drabbas av tillsynsavgift. Ett avgiftssystem bör därför utformas så att man underlåter att ta ut avgift för inspektioner som inte överstiger viss kortare tid på plats. Överstiger en inspektion på plats denna tid bör avgiften även omfatta tid för efterarbete i form av utformande av rapporter och dylikt. Det förarbete som Datainspektionen lägger ned för bl.a. planering av inspektioner bör inte ingå i underlaget för avgiften. Syftet med ett sådant system är att styra myndigheten att vara ute på fältet i så stor utsträckning som möjligt. Avgift bör utgå för omfattande efterarbete orsakat av brister i personuppgiftshanteringen, för att därigenom ytterligare förstärka den styrande effekten av avgiftsfinansieringen.

En alternativ ordning för en eventuell avgiftsfinansiering är en årlig avgift som alla i hela avgiftskollektivet får betala. En sådan avgift förutsätter emellertid att man klart kan definiera alla som kan bli utsatta för tillsyn och att alla dessa får betala avgift. Med hänsyn till att i princip alla människor i Sverige i något avseende skulle kunna vara personuppgiftsansvariga, och därmed potentiella tillsynsobjekt för Datainspektionen, är detta enligt utredningens bedömning ogenomförbart.

Som utredningen framhållit bör avgifter tas ut enbart av dem som faktiskt blir utsatta för åtgärd från myndighetens sida. Vidare bör avgiften tas ut enligt en tidtaxa, alltså en avgift som direkt motsvarar den tid som faktiskt lagts ned för att fullgöra uppdraget. Datainspektionen bör debitera en fast timkostnad för faktiskt nedlagd tid. Timkostnaden

bör bygga på en beräkning av genomsnittlig lönekostnad och omkostnad för traktamente, resor och övernattning m.m. Den bör med andra ord vara lika stor oberoende av var i landet en inspektion äger rum. En fördel med tidtaxa är att en sådan sannolikt skulle ha en positivt styrande effekt genom att personuppgiftsansvariga skulle uppmuntras att skaffa personuppgiftsombud, eftersom förekomsten av sådana ombud borde underlätta Datainspektionens arbete på plats.

Det är viktigt att en avgift enligt tidstaxa bestäms med utgångspunkt endast i det faktiska inspektionsarbetet. Vid tidsberäkningen får med andra ord inte räknas in tid som, i samband med en inspektion, har använts för allmänna diskussioner eller rent informationsutbyte mellan Datainspektionen och tillsynsobjektet i frågor som inte rör den aktuella inspektionen på plats.

Något om omfattningen av dagens inspektionsverksamhet

När det gäller vilka avgifter som kan tas ut för Datainspektionens inspektioner bör något nämnas om omfattningen av verksamheten i dag. En mer exakt redovisning finns i bilaga 3.

Under perioden juni 2000–juli 2001 har Datainspektionen lagt ned sammanlagt ca 600 arbetstimmar på fältinspektion enligt datalagen och personuppgiftslagen. I tidsåtgången för fältinspektion ingår allt arbete med anledning av en inspektion, dvs. såväl förarbete, restid och själva inspektionen som efterarbete.

Datainspektionen har under samma period genomfört särskilda projekt enligt personuppgiftslagen som avsett bl.a. direktreklambranschen, skolor och nationella kvalitetsregister. Tidsåtgången för detta arbete var drygt 850 timmar.

Myndigheten har vidare utfört 17 fältinspektioner enligt kreditupplysningslagen samt särskilda projekt enligt samma lag och lagt ned sammanlagt drygt 800 timmar.

Antalet fältinspektioner enligt inkassolagen har under perioden uppgått till 38, vilka sammanlagt tagit ca 730 timmar att genomföra.

Den totala tillsynsverksamheten över tullens register har under nämnda period omfattat 12 timmar, och arbetet enligt Schengenkonventionen har uppgått till nästan 150 timmar.

Avslutande synpunkter

Enligt utredningens uppfattning skall Datainspektionen inte disponera de inkomster som myndigheten uppbär i form av avgifter för inspektioner. Myndighetens verksamhet skall alltjämt finansieras genom

anslag över statsbudgeten och omfattningen av inspektionsverksamheten skall bestämmas av regeringen i regleringsbrev. Det kommer således inte att finnas något direkt incitament för Datainspektionen att inrikta sina inspektioner på de verksamheter som från avgiftssynpunkt kan inbringa störst intäkter.

Mot bakgrund av att grunderna för hur omfattande Datainspektionens inspektionsverksamhet skall vara bestäms av regeringen i regleringsbrev, är det i förlängningen regeringen som avgör hur stora intäkter avgiftssystemet kommer att föra med sig. Med ett så stort antal potentiella tillsynsobjekt som är föremål för Datainspektionens verksamhet, finns det förutsättningar för en mycket omfattande inspektionsverksamhet. Enligt utredningens uppfattning bör som målsättning för Datainspektionens verksamhet gälla att, med nuvarande resurser, ett väsentligt större antal inspektioner skall utföras i framtiden än de ca 200 inspektioner som genomförs årligen i dag.

13.3.2. Avgifter för anmälan om behandling av personuppgifter

Grundläggande utgångspunkter

Innan helt eller delvis automatiserad behandling av personuppgifter vidtas skall den personuppgiftsansvarige enligt personuppgiftslagen skriftligen anmäla detta till Datainspektionen. Om den personuppgiftsansvarige utser ett personuppgiftsombud och anmäler detta till Datainspektionen, behöver i det stora flertalet fall någon anmälan av behandling av personuppgifter inte göras. Innan en behandling av särskilt integritetskänsliga personuppgifter får göras skall emellertid en anmälan alltid göras tre veckor i förväg till Datainspektionen för förhandskontroll, oavsett förekomsten av personuppgiftsombud.

Enligt utredningens uppfattning skulle dessa former av anmälningar till Datainspektionen kunna vara förenade med en avgift för myndighetens handläggning.

Syftet med att avgiftsbelägga dessa typer av anmälningar är som tidigare framhållits de styrande effekter som härigenom kan uppnås. Dessutom får de personuppgiftsansvariga som föranleder arbete för Datainspektionen betala för det. Som tidigare påpekats anser utredningen att det är av stor vikt att personuppgiftsansvariga i största möjliga utsträckning utser personuppgiftsombud. Genom att utse personuppgiftsombud undkommer man skyldigheten att göra anmälan om ordinär behandling av personuppgifter. Införs en avgift för sådan

anmälan motiveras de personuppgiftsansvariga än mer att utse personuppgiftsombud i sin verksamhet, eftersom man då slipper att betala nämnda avgift.

I fråga om särskilt känsliga behandlingar av personuppgifter, för vilka anmälningsskyldighet är obligatorisk även om det finns personuppgiftsombud, kan styrningseffekter uppnås på så sätt att den personuppgiftsansvarige noggrant överväger om behandlingen är nödvändig. En tydlig styrningseffekt kan sannolikt uppstå för forskningsprojekt, som hittills har stått för en stor del av de obligatoriska anmälningarna. Det krävs nämligen inte någon anmälan om behandlingen av uppgifter har godkänts av en forskningsetisk nämnd.

Det bör också nämnas att avgifter för anmälningar kan medföra negativa styrningseffekter. Det finns risk för att personuppgiftsansvariga, i stället för att skaffa personuppgiftsombud, helt avstår från att anmäla sina behandlingar för att på det sättet undgå avgiften. För att minimera den risken bör en avgift inte vara för hög.

Närmare om utformningen av ett avgiftssystem

Datainspektionens handläggning av anmälningar om ordinär behandling av personuppgifter är standardiserad och av mindre omfattning. Enligt utredningens uppfattning är det därför lämpligt med en fast avgift för sådana anmälningar.

De obligatoriska anmälningarna om särskilt integritetskänsliga behandlingar kan däremot vara komplicerade ärenden som kräver mycket arbete från Datainspektionens sida. Myndigheten skall också lämna besked i ett sådant ärende inom tre veckor. För att säkerställa att Datainspektionen får täckning för samtliga sina kostnader bör avgiften därför utgå enligt tidstaxa.

Något om omfattningen av anmälningar till Datainspektionen

Personuppgiftslagen trädde i kraft den 24 oktober 1998. Till och med juni 2001 har det till Datainspektionen kommit in sammanlagt 1 300 anmälningar om ordinär behandling av personuppgifter enligt personuppgiftslagen. Under perioden juli 2000–juni 2001 kom det in 218 anmälningar till myndigheten. Det sker ingen särskild kontroll av de anmälningar om ordinär behandling som kommer in till Datainspektionen utan dessa förs endast in i ett register.

Under perioden juli 2000–juni 2001 kom totalt 56 anmälningar om särskilt integritetskänsliga behandlingar in till Datainspektionen. Av dessa avsåg 39 behandling av personuppgifter för forskningsändamål

och 17 behandling av personuppgifter inom polisens verksamhet. Den sammanlagda handläggningstiden för anmälningar om särskilt integritetskänsliga behandlingar under perioden juli 2000–juni 2001 var knappt 500 timmar.

13.3.3. Avgifter för Datainspektionens övriga verksamhet enligt personuppgiftslagen

Oavsett om avgift tas ut för inspektionsverksamhet, som sker på plats hos personuppgiftsansvariga, och för anmälningar om behandling av personuppgifter bör Datainspektionen enligt utredningens mening även i fortsättningen ta ut avgifter för informationsmaterial, föreläsningar och konferenser.

Det är emellertid viktigt att framhålla att Datainspektionens informations- och rådgivningsverksamhet, som omfattas av myndighetens allmänna serviceskyldighet, inte bör vara avgiftsbelagd. Att ta ut avgift för denna preventiva och allmänt upplysande verksamhet skulle kunna avhålla många personuppgiftsansvariga från att ta kontakt med inspektionen, vilket i förlängningen skulle leda till ett försämrat integritetsskydd i samhället.

Som utredningen tidigare framhållit är det inte lämpligt att finansiera kostnaderna för Datainspektionens internationella arbete och verksamhet som remissinstans med avgifter. Det är inte heller berättigat att ta ut avgifter för myndighetens arbete med föreskrifter och allmänna råd. Sambandet mellan avgift och motprestation skulle vara allt för avlägsen.

13.4. Finansiering av Datainspektionens tillsyn inom det internationella polis- och tullsamarbetet

Grundläggande utgångspunkter

I fråga om tillsynen inom det internationella polis- och tullsamarbetet framstår det som naturligt för utredningen att Datainspektionens verksamhet helt eller delvis bekostas av dem som förorsakar inspektionen kostnader. Det arbete som Datainspektionen utför enligt Europol-, Schengen och TIS-konventionerna kommer Rikspolisstyrelsen och Tullverket till godo. Det är därför rimligt att dessa myndigheter är med och betalar. Varje sakverksamhet bör bära sin egen

kostnad och en avgiftsfinansiering kan bidra till en rättvisande kostnadsfördelning inom statsförvaltningen. Samtidigt är det i de här fallen enkelt att identifiera tillsynsobjekten.

Argument mot en generell avgiftsfinansiering

Som skäl mot att ta ut generella avgifter för Datainspektionens tillsyn kan anföras att det är fel att låta Rikspolisstyrelsen och Tullverket få betala för en arbetsuppgift som de har ålagts att utföra enligt konventioner som Sverige anslutit sig till. Vidare innebär en avgiftsfinansiering i detta sammanhang endast en omflyttning av pengar inom statskassan.

Vid en jämförelse med tillsyn inom andra områden där en statlig myndighet utövar tillsyn över en annan myndighets verksamhet, har utredningen inte funnit några exempel på att avgiftsfinansiering över huvud taget förekommer. Enligt vad utredningen erfarit förekommer det i dag inte någon interndebitering när det gäller tillsyn. Enligt uppgift från Tillsynsutredningen (Ju 2000:06) är i stället den grundläggande principen att man inom statsförvaltningen försöker undvika en sådan form av interndebitering. Myndigheter tar betalt för tillsyn över verksamheter inom den privata sektorn men inte för tillsyn över andra statliga myndigheters verksamheter. Riksrevisionsverket tar ut avgifter för sin revision av statliga bolag och affärsverk, men inte av statliga myndigheter om inte mer än hälften av den reviderade myndighetens verksamhet är avgiftsfinansierad. Staten tar inte heller ut avgifter för tillsyn inom kommunala verksamhetsområden som skola, socialtjänst och sjukvård. Enligt uppgift från Tillsynsutredningen är anledningen att det ligger ett starkt medborgarintresse i att dessa kommunala verksamheter bedrivs på ett korrekt sätt.

Utredningens slutsats

Mot bakgrund av vad som sagts ovan framstår en generell avgiftsfinansiering av Datainspektionens tillsyn inom polis- och tullsamarbetet enligt utredningen som en ny företeelse. En sådan finansiering bör inte genomföras utan att det finns tungt vägande skäl för det, som t.ex. att det uppkommer positiva styrningseffekter, att kostnaderna hamnar inom rätt utgiftsområde eller att det leder till ett ökat kostnadsmedvetande.

Rikspolisstyrelsens och Tullverkets brist på valfrihet vad gäller tillsynen över myndigheternas behandling av personuppgifter är något

som talar tydligt emot en avgiftsfinansiering av Datainspektionens hela kostnad för tillsynen. Värdet av att kostnaderna hamnar inom rätt utgiftsområde måste dessutom ställas i förhållande till kostnaderna för genomförande och administration. Det är vidare svårt att se några positiva styrningseffekter enbart genom en generell avgiftsfinansiering. Utredningen anser därför att en sådan avgiftsmodell inte bör införas. Nämnda omständigheter hindrar dock enligt utredningens mening inte att man i det interna budgetarbetet reglerar kostnaderna för Datainspektionens generella tillsynsverksamhet enligt de tre aktuella konventionerna så att dessa faller på polis- och tullmyndigheterna. Motsvarande bör gälla för Datainspektionens uppgifter enligt förordningen om Eurodac (jfr. avsnitt 3.10).

Även om det inte är lämpligt med en generell avgiftsfinansiering, finns det andra avgiftsmodeller som kan komma i fråga. Utredningen redovisar i avsnitt 13.3.1 en modell för avgifter för Datainspektionens inspektionsarbete enligt personuppgiftslagen. Motsvarande modell bör kunna tillämpas även för tillsynen över polis- och tullmyndigheters internationella arbete. Det innebär att polis- och tullmyndigheter bör kunna betala för Datainspektionens renodlade inspektionsverksamhet som äger rum på plats hos den personuppgiftsansvarige, oavsett om det sker enligt personuppgiftslagen eller som ett led i arbetet med tillsynen över polis- och tullmyndigheternas behandling av personuppgifter enligt de tre ovannämnda konventionerna. Vad nu sagts bör även gälla Migrationsverket och Eurodac.

13.5. Avgift för tillstånd och tillsyn enligt kreditupplysnings- och inkassolagarna

Utredningen föreslår i avsnitt 10.3.5 att Datainspektionens verksamhet med kreditupplysnings- och inkassolagarna skall överföras till Finansinspektionen och där finansieras med avgifter motsvarande vad som i dag gäller för myndighetens övriga verksamhet. Det kan finnas anledning att diskutera en eventuell avgiftsfinansiering av denna verksamhet, också för det fall att arbetsuppgifterna även fortsättningsvis skulle falla inom Datainspektionens verksamhetsområde.

Sedan förordningen (1982:481) om avgifter för Datainspektionens verksamhet upphörde att gälla tar Datainspektionen inte längre ut några avgifter för handläggning av ansökningar om tillstånd enligt kreditupplysnings- och inkassolagarna. Några avgifter för att finansiera Datainspektionens tillsynsverksamhet i övrigt förekommer inte heller, utan verksamheten finansieras helt genom anslag via statsbudgeten.

I 18 § kreditupplysningslagen finns en generell bestämmelse om att regeringen får föreskriva om skyldighet för den som bedriver kreditupplysningsverksamhet att betala avgift för Datainspektionens tillsynsverksamhet enligt lagen. Bestämmelsen infördes den 1 juli 1997 och regeringen anförde att det på flera näraliggande områden finns system som innebär att tillsynsverksamheten finansieras genom avgifter från dem som omfattas av tillsynen. Ett exempel är den ordning som gäller för banker och andra kreditinstitut enligt förordningen (1995:1116) om finansiering av Finansinspektionens verksamhet. Enligt förordningen erlägger kreditinstituten avgifter som är relaterade till deras omsättningsvolym. Regeringen menade att det fanns skäl att införa ett sådant system även inom kreditupplysningsområdet. En bestämmelse om avgiftsskyldighet borde därför införas i kreditupplysningslagen och den borde utformas så att regeringen får rätt att föreskriva en skyldighet för den som bedriver kreditupplysningsverksamhet att betala en avgift för tillsynsverksamheten. Regeringen ansåg att det borde anges att avgiften skall påföras av Datainspektionen.1

Regeringen har emellertid ännu inte utnyttjat bemyndigandet att föreskriva om avgift för Datainspektionens tillsynsverksamhet enligt kreditupplysningslagen. Anledningen till detta är okänd för utredningen. Eftersom bestämmelsen ligger i linje med utredningens uppdrag och de tankegångar som utredningen har om hur Datainspektionens tillsynsverksamhet skulle kunna finansieras i övrigt, finns det anledning att överväga om en sådan avgiftsfinansiering av tillsynsverksamhet är möjlig att genomföra inom kreditupplysnings- och inkassoområdet.

Avgiftsfinansiering ställer som nämnts tidigare krav på ett tydligt samband mellan avgiften och den prestation som erhålls. När det gäller tillsynsverksamhet finns det inte alltid ett klart samband mellan den prestation som myndigheten utför och summan av de avgifter som erläggs av en grupp, i regel bestående av företag, för att finansiera verksamheten. Vid ett litet antal tillsynsobjekt finns ett tydligt samband mellan en enskild prestation och avgiften. Vid stigande antal tillsynsobjekt blir sambandet svagare för att i vissa fall helt upplösas. Då svarar kollektivet för sambandet med motprestationen, inte de enskilda tillsynsobjekten. Man kan här tala om kollektiva avgifter.

Detta gäller särskilt i fråga om Datainspektionens tillsynsverksamhet enligt personuppgiftslagen. Här finns ett i det närmaste obegränsat antal potentiella tillsynsobjekt utan någon annan minsta gemensamma nämnare än att de behandlar personuppgifter. Som utredningen tidigare framhållit går det, med hänsyn till det oklara sambandet

1Prop. 1996/97:65 s. 37.

med en eventuell motprestation, att ifrågasätta lämpligheten av en generell avgift som betalas av alla potentiella tillsynsobjekt oavsett åtgärd från Datainspektionens sida.

Det förhåller sig dock annorlunda med Datainspektionens verksamhet enligt kreditupplysnings- och inkassolagarna. Här rör det sig om ett mera lättdefinierat kollektiv och ett begränsat antal tillsynsobjekt. Det finns i dag 14 företag som har Datainspektionens tillstånd att bedriva kreditupplysningsverksamhet och 230 företag som har tillstånd att bedriva inkassoverksamhet. Det är svårare att klart identifiera de organisationer som bedriver inkassoverksamhet utan krav på tillstånd från Datainspektionen, s.k. egeninkasso. Denna grupp utgörs dock till stor del av kommuner, landsting och statliga myndigheter, för vilka samma statsrättsliga krav på samband med en konkret motprestation inte uppställs.

Enligt utredningens uppfattning bör därför tillsynsverksamhet enligt kreditupplysnings- och inkassolagarna kunna avgiftsfinansieras i enlighet med bestämmelsen i 18 § kreditupplysningslagen. Någon motsvarande bestämmelse i inkassolagen finns dock inte. Om avgifter skall tas ut bör det således i inkassolagen införas en bestämmelse som motsvarar 18 § kreditupplysningslagen. I samband med detta bör också bestämmelserna om avgift för handläggning av ansökningar om tillstånd enligt kreditupplysnings- och inkassolagarna återinföras.

13.6. Det statliga personadressregistret (SPAR)

I anslutning till diskussioner om finansiering av Datainspektionens verksamhet, finns det anledning att nämna SPAR. Registret inrättades genom riksdagsbeslut 1976 för att av integritetsskäl begränsa behovet av privata befolkningsregister. SPAR har sedan dess använts för uppdatering av andra personregister, personnummerkontroll, personnummersättning och urvalsdragningar.

Sedan den 1 juli 1998 regleras SPAR genom lagen (1998:527) och förordningen (1998:1234) om det statliga personadressregistret. Författningarna är anpassade till personuppgiftslagen. Enligt lagen får registret användas av myndigheter och enskilda. SPAR får innehålla uppgifter om personer som är folkbokförda i landet, bl.a. namn, personnummer, adress, medborgarskap samt taxerad förvärvsinkomst och beskattningsbar förmögenhet. Uppgifterna i SPAR hämtas från skatteförvaltningens databaser för folkbokföring och beskattningsverksamhet.

Registret har stor betydelse för många myndigheter, företag och andra organisationer. Cirka 80 000 användare är direktuppkopplade mot SPAR.

Personuppgiftsansvarig för SPAR är Statens personadressregisternämnd (SPAR-nämnden). Nämnden består av företrädare för samtliga riksdagspartier och tillgodoser på så sätt den parlamentariska insynen i verksamheten. SPAR-nämnden har inga anställda. Kanslichefen tillhör Statskontoret som är värdmyndighet för nämnden. Driften av SPAR sköts för närvarande av Sema InfoData AB enligt avtal med SPARnämnden. Användningen av SPAR får vara avgiftsbelagd. Avgifterna för användningen betalas in till Sema InfoData AB. Enligt avtalet med nämnden betalas därefter en viss del av avgifterna in till staten. Statens inkomster från driften av SPAR uppgår årligen till ca 8–9 miljoner kronor.

Utredningens förslag innebär att huvuddelen av Datainspektionens verksamhet även fortsättningsvis bör finansieras via anslag. Utredningen vill emellertid peka på att staten också genom SPAR får vissa intäkter från behandlingen av personuppgifter. Även om dessa intäkter inte är öronmärkta för finansiering av Datainspektionen är det enligt utredningen rimligt att väga in dessa när man gör en samlad bedömning av statens kostnader för integritetsskyddet.

14. Konsekvenser av utredningens förslag

Utredningens förslag att ansvaret enligt kreditupplysnings- och inkassolagarna bör föras över till Finansinspektionen kommer att innebära ökade anslagsutgifter för staten. Denna kostnad kan finansieras med ökade intäkter genom att kreditupplysnings- och inkassoverksamheten i fortsättningen finansieras genom avgifter.

Det utbyggda system med personuppgiftsombud och den ökade självreglering som utredningen förespråkar kommer på sikt att medföra att Datainspektionens personalresurser, och därmed statens kostnader, kan minskas.

Utredningens överväganden om att viss del av Datainspektionens verksamhet kan finansieras genom avgifter kommer, om de redovisade avgiftsmodellerna genomförs, att medföra ett tillskott till statskassan.

Av 14 § kommittéförordningen framgår att om förslag i ett betänkande påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda, skall en beräkning av dessa konsekvenser redovisas i betänkandet. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt skall det också redovisas. När det gäller kostnadsökningar och intäktsminskningar för staten, kommuner eller landsting, skall utredningen föreslå en finansiering.

Utgångspunkten för utredningens uppdrag har varit att analysera behoven av förändringar i Datainspektionens verksamhetsinriktning och arbetsformer och att lämna de förslag som behövs när det gäller inriktning, omfattning och finansiering av den fortsatta verksamheten. Därutöver har utredningens uppdrag omfattat vissa särskilda frågor. Utredningen har således analyserat vilken roll Datainspektionen bör ha när det gäller tillsyn inom ramen för det internationella polis- och tullsamarbetet, om Datainspektionen även fortsättningsvis skall ha tillstånds- och tillsynsuppgifter när det gäller kreditupplysnings- och inkassoverksamhet eller om detta ansvar kan föras över till någon annan myndighet, vilka möjligheterna är för Datainspektionen att mera aktivt stimulera utvecklingen av frivilligt integritetsskydd och om

Datainspektionen skall ges ett tydligare ansvar för att aktivt följa teknikutvecklingen ur ett integritetsperspektiv. Utredningen har även studerat formerna för den fortsatta finansieringen och möjligheterna att helt eller delvis finansiera den framtida verksamheten med avgiftsintäkter.

Enligt utredningens bedömning bör Datainspektionen initialt vara lika stor som myndigheten är i dag. Med hänsyn till de förslag som utredningen lägger fram i betänkandet finns emellertid förutsättningar för att Datainspektionens personalresurser på sikt kan minskas. Utredningens förslag i organisationsfrågor medför därför inga ökade kostnader för staten.

När det gäller Datainspektionens roll inom ramen för det internationella polis- och tullsamarbetet föreslår utredningen inte några förändringar i arbetsformerna. Några ekonomiska konsekvenser uppkommer därför inte i den delen.

Utredningen föreslår en renodling av Datainspektionens verksamhet genom att ansvaret för tillstånds- och tillsynsuppgifter när det gäller kreditupplysnings- och inkassoverksamhet förs över till Finansinspektionen. Renodlingen innebär enligt utredningens förslag att Datainspektionen i praktiken tillförs resurser utan att budgeten belastas, eftersom de personer som i dag ägnar sig åt kreditupplysnings- och inkassolagarna i stället kan syssla med Datainspektionens verksamhet i övrigt (ca 2,5 årsarbetskrafter). Finansinspektionen måste dock tillföras ytterligare resurser för att sköta de nya uppgifterna. Förslagen innebär således ökat anslag till Finansinspektionen och oförändrat anslag till Datainspektionen, dvs. sammantaget en ökning av statsbudgetens utgiftssida. Utredningen redovisar emellertid en modell för avgifter för tillsyn enligt inkassolagen, i likhet med vad som redan gäller enligt kreditupplysningslagen. Enligt utredningens mening kan vidare avgifter för handläggning av ansökningar om tillstånd enligt kreditupplysnings- och inkassolagarna återinföras. Med en sådan finansieringsmodell kan kostnaderna för tillsyn och tillstånd enligt dessa lagar helt finansieras av avgifter. Utgiftsökningen finansieras med andra ord genom ökade intäkter.

Datainspektionen bör fortsättningsvis kunna ta ut avgifter för utbildningsseminarier, konferenser och visst informationsmaterial i samma omfattning som i dag.

Utredningen redovisar även modeller för avgiftsfinansiering av andra delar av Datainspektionens verksamhet. Avgifter kan tas ut dels för anmälningar som skall göras till Datainspektionen enligt personuppgiftslagen, dels för Datainspektionens renodlade inspektionsverksamhet på fältet. Med ett sådant avgiftssystem skulle statens skattefinansierade kostnader för myndigheten minska. De ekonomiska

konsekvenserna är emellertid inte möjliga att beräkna med någon exakthet, bl.a. eftersom grunderna för omfattningen av myndighetens inspektionsverksamhet, och därmed intäkterna från verksamheten, enligt utredningens uppfattning bör bestämmas av regeringen i regleringsbrev. Utredningen lämnar inte heller några konkreta förslag om avgiftsfinansiering, utan redovisar endast i grova drag tänkbara modeller. Av betydelse om ett avgiftssystem skulle införas är att Datainspektionen i dag, enligt utredningens uppfattning, genomför alldeles för få fältinspektioner och att den delen av verksamheten i framtiden bör bli betydligt mer omfattande (jfr bilaga 3). En rimlig utgångspunkt är att åtta till tio personer borde kunna ägna sig åt i huvudsak just fältinspektioner, vilket skulle medföra att väsentligt fler inspektioner borde kunna genomföras på plats hos personuppgiftsansvariga än vad som är fallet i dag.

Om en avgiftsfinansiering enligt utredningens modeller skulle genomföras – dvs. avgifter för visst informationsmaterial m.m. och för anmälningar och inspektioner enligt personuppgiftslagen – borde den enligt utredningens bedömning kunna bidra med upp till tjugo procent av Datainspektionens totala budget. Det har då särskilt beaktats att utredningen föreslår en kraftfull intensifiering av Datainspektionens inspektionsverksamhet på fältet. Syftet med avgifter måste dock i första hand vara att de skall ha en styrande effekt på Datainspektionens verksamhet, inte att de skall finansiera den. Även i fortsättningen bör grunden för verksamheten vara skattefinansiering.

Avslutningsvis understryker utredningen i betänkandet vikten av att Datainspektionen anstränger sig för att decentralisera ansvaret för integritetsskyddet genom att uppmuntra till olika former av självreglering och utnyttjande av systemet med personuppgiftsombud. Enligt utredningens bedömning kan en sådan decentralisering och överflyttning av ansvaret för skyddet för den personliga integriteten avlasta Datainspektionen så att dess personalresurser på sikt kan minskas.

Särskilda yttranden

Särskilt yttrande av Anna Karlgren och Britt Ericsson

Vi instämmer inte i utredningens slutsats att övervägande skäl talar för att tillstånds- och tillsynsuppgifterna enligt kreditupplysningslagen och inkassolagen bör föras över till Finansinspektionen. Utredningen har inte framåtblickande och i tillräcklig utsträckning analyserat det skyddsbehov de båda lagarna skall tillgodose. Enligt vår mening är dessa skyddsbehov kopplade till otillbörligt intrång i den personliga integriteten. Av utredningen framgår att Datainspektionens tillsynsinsatser enligt kreditupplysnings- respektive inkassolagen i stort är desamma som enligt personuppgiftslagen. Vidare framgår att Datainspektionen enligt personuppgiftslagen även fortsättningsvis kommer att utöva denna tillsyn över kreditupplysnings- och inkassoföretagen. Om ansvaret förs över till Finansinspektionen kommer därmed två myndigheter att svara för att säkerställa medborgarnas skyddsbehov enligt lagstiftningen. Detta borgar inte för en effektiv ansvarsfördelning och resursanvändning. För den enskilde medborgaren kan det dessutom skapa osäkerhet om till vilken myndighet man skall vända sig.

Ett bärande motiv för utredningens förslag är att den ändrade ansvarsfördelningen möjliggör en renodling av Datainspektionens verksamhet. Nackdelen, som utredningen inte berör, är att verksamheten hos Finansinspektionen diversifieras i minst motsvarande grad. Perspektivet borde vara att säkerställa att organisationen av uppgifterna sker på ett samhällsekonomiskt effektivt sätt. Utredningen har dock ensidigt sett till Datainspektionens uppgifter. Någon konsekvensanalys för Finansinspektionens verksamhet har inte genomförts. Verksamheten hos Finansinspektionen har, av regering och riksdag, under senare år alltmer renodlats till att gälla stabilitet och effektivitet i den finansiella sektorn. Syftet är att tillsynen skall verka förebyggande genom att påverka risker och agerande i de finansiella företagen. Systemriskerna på kreditmarknaden och de tunga transaktionssystemen på värdepappersmarknadsområdet uppmärksammas särskilt. När det gäller konsumentskyddet koncentreras tillsynen väsentligen på före-

tagens informationsgivning och klagomålshantering med hänsyn till kundernas ställning och förtroende. Någon hantering av enskilda konsumenters ärenden förekommer inte. Utredningens argument om att Finansinspektionen har särskild kunskap om kreditinstitut och kreditmarknaden i stort vilket skulle motivera överföringen av tillstånds- och tillsynsansvaret är således inte relevant.

Särskilt yttrande av Leif Lindgren

Även med en principiell förståelse för försök att finna avgiftsfinansiering av Datainspektionens verksamhet ifrågasätter jag starkt förslaget att debitera avgift per timma för inspektioner och att ta ut avgift för anmälningar. Mot förslaget talar särskilt att endast ett urval blir föremål för inspektioner och att däri kommer att finnas verksamheter som visar sig sköta sin personuppgiftsbehandling klanderfritt. Risken är stor för bristande förståelse för avgifterna bland personuppgiftsansvariga och för ”bad-will” för inspektionen, vilket motverkar inspektionens verksamhet. I vart fall bör inte statsmakterna ta slutlig ställning till frågan om avgiftsfinansiering förrän förslag till författningsreglering av avgifterna har utformats och därmed har övervägts delfrågor som är väsentliga för helheten av ett godtagbart avgiftssystem.

När det gäller Datainspektionens resursbehov till följd av förslagen om verksamhetens inriktning i olika delar anser jag att kostnadskonsekvenserna sammantagna inte har beaktats fullt ut. Med oförändrade resurser är det inte möjligt att bli en kraftfull resurs för alla människor i Sverige och samtidigt öka inspektionsinsatserna ytterligare, inte heller om tillstånd och tillsyn för kreditupplysnings- och inkassoverksamhet flyttas. Vid oförändrad resurstilldelning måste sättas gränser för den i sig goda tanken om långtgående informations- och serviceåtaganden gentemot befolkningen.

Särskilt yttrande av Benny Wahlbäck

Datainspektionens tillsynsverksamhet bör i sin helhet vara anslagsfinansierad. Hänsyn måste tas till att de berörda myndigheterna inte har någon möjlighet att påverka avgifternas storlek och att det kommer att leda till att annan angelägen verksamhet måste stå tillbaka. Detta kommer att bli särskilt märkbart i polisorganisationen som i flera olika sammanhang behandlar känsliga personuppgifter och som därför kan tänkas komma att bli föremål för en frekvent tillsyn från inspektionens sida. Därtill kommer att ett avgiftssystem kommer att skapa ett betydande administrativt merarbete för både inspektionen och inspekterade myndigheter.

Kommittédirektiv

Översyn av Datainspektionens verksamhet och finansiering

Dir. 2000:52

Beslut vid regeringssammanträde den 21 december 2000.

Sammanfattning av uppdraget

En särskild utredare skall göra en översyn av Datainspektionens uppgifter och verksamhet mot bakgrund av den nya personuppgiftslagen (1998:204) och den snabba utvecklingen på informationsteknikens område.

Utredaren skall analysera behoven av förändringar i verksamhetsinriktning och arbetsformer och lämna de förslag som behövs när det gäller inriktning, omfattning och finansiering av den fortsatta verksamheten.

Bakgrund

Datainspektionen är central förvaltningsmyndighet med uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet.

Datainspektionen är tillsynsmyndighet när det gäller Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT nr L281, 23.11.1995, s. 31, Celex 395L0046),det s. k. dataskyddsdirektivet, som genomförts i svensk rätt genom personuppgiftslagen. Datainspektionen har fram till den 1 oktober 2001 också ett tillsynsansvar i de fall den gamla datalagen (1973:289) skall tillämpas enligt övergångsbestäm-

melserna till personuppgiftslagen. Inspektionen är också tillstånds- och tillsynsmyndighet enligt kreditupplysningslagen (1973:1173) och inkassolagen (1974:182). Vidare har inspektionen utsetts till att vara nationell tillsynsmyndighet enligt Europolkonventionen (EGT C316, 27.11.1995, s. 2, Celex 41995A1127/01) och konventionen om användning av informationsteknologi för tulländamål (EGT C316, 27.11.1995, s. 34, Celex 41995A1127/02), den s.k. CIS-konventionen. Inspektionen har också utsetts till nationell tillsynsmyndighet enligt Schengenkonventionen.

Uppgifter i anslutning till datalagen och personuppgiftslagen

Datainspektionen inrättades 1973 då datalagen trädde i kraft. Datalagen ersattes den 24 oktober 1998 av personuppgiftslagen, som bygger på de gemensamma regler som har beslutats inom EU genom dataskyddsdirektivet. Under en övergångsperiod fram till den 1 oktober 2001 tillämpas dock båda lagarna. Datalagen tillämpas för behandlingar av personuppgifter som har påbörjats före den 24 oktober 1998 och personuppgiftslagen för behandlingar som påbörjats efter detta datum.

Enligt dataskyddsdirektivet är varje medlemsstat skyldig att se till att det utses en eller flera myndigheter som har till uppgift att övervaka tillämpningen av den nationella lagstiftningen till följd av direktivet. Datainspektionen har utsetts till sådan tillsynsmyndighet i Sverige. I sin egenskap av tillsynsmyndighet ingår Datainspektionen även i den arbetsgrupp som inrättats med stöd av artikel 29 i dataskyddsdirektivet. Arbetsgruppen har bl. a. till uppgift att se till att direktivet tillämpas enhetligt i medlemsstaterna. Gruppen skall också avge yttranden till Europeiska kommissionen om skyddsnivån i länder utanför EU samt ge råd till kommissionen om förslag till ändringar i direktivet.

Myndigheten skall fullständigt oberoende utöva de uppgifter som åläggs den. Den skall ha undersökningsbefogenheter samt effektiva befogenheter att ingripa t. ex. genom att dels förhandskontrollera särskilt integritetskänsliga behandlingar, dels besluta om förbud mot behandling av personuppgifter.

Myndigheten skall också ha befogenhet att inleda rättsliga förfaranden vid överträdelser eller att uppmärksamma de rättsliga myndigheterna på sådana överträdelser. Slutligen skall myndigheten höras när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter.

Personuppgiftslagen innebär stora förändringar i Datainspektionens verksamhet. Licenssystemet har avskaffats och tillståndskraven i

datalagen försvinner helt i oktober 2001 i och med att övergångsperioden upphör och personuppgiftslagen kommer att gälla fullt ut.

Behandling av personuppgifter skall anmälas till Datainspektionen, där anmälningar förs in i ett offentligt register. Omfattande undantag från anmälningsskyldigheten finns dock föreskrivna i lagen, personuppgiftsförordningen och föreskrifter från Datainspektionen. Vissa särskilt integritetskänsliga behandlingar skall alltid anmälas till Datainspektionen för förhandskontroll.

Datainspektionens uppgifter i anslutning till personuppgiftslagen innebär i första hand att informera om gällande regler och utöva tillsyn över att reglerna efterlevs samt att ge råd och hjälp åt personuppgiftsombuden. Datainspektionen har även bemyndigats att meddela föreskrifter i anslutning till reglerna i personuppgiftslagen.

Uppgifter i anslutning till kreditupplysningslagen och inkassolagen

kreditupplysningslagen gäller i första hand sådan kreditupplysningsverksamhet som innebär att någon lämnar kreditupplysningar mot ersättning mer än i enstaka fall eller som ett led i näringsverksamhet.

Den kreditupplysning som omfattas av lagen får i princip bedrivas endast efter tillstånd från Datainspektionen. Tillstånd får meddelas endast om det kan antas att verksamheten kommer att bedrivas på ett sakkunnigt och omdömesgillt sätt. Inspektionen har möjlighet att förena ett tillstånd med villkor om hur verksamheten skall bedrivas.

Datainspektionen utövar tillsyn över kreditupplysningsverksamhet som omfattas av lagen. Detta kan ske genom inspektioner eller på annat sätt. Om den som har inspektionens tillstånd att bedriva kreditupplysningsverksamhet åsidosätter någon bestämmelse i kreditupplysningslagen eller villkor i meddelat tillstånd, får inspektionen förelägga honom att vidta rättelse, ändra tidigare meddelade villkor eller meddela nya villkor. Kan rättelse inte åstadkommas på annat sätt får Datainspektionen återkalla tillståndet.

Inkassoverksamhet, som avser indrivning av fordringar för annans räkning eller fordringar som har övertagits för indrivning, får i princip bedrivas endast efter tillstånd från Datainspektionen. Tillstånd får meddelas endast om verksamheten kan antas bli bedriven på ett sakkunnigt och omdömesgillt sätt.

Datainspektionen utövar tillsyn över efterlevnaden av inkassolagen. Om inspektionens tillsyn föranleder det får inspektionen meddela föreskrifter om hur verksamheten skall bedrivas. Sådana föreskrifter får förenas med vite. Kan rättelse inte åstadkommas får inspektionen återkalla tillståndet.

Uppgifter enligt Europol-, Schengen- och CIS-konventionerna

Enligt artikel 23 i Europolkonventionen är varje medlemsstat skyldig att utse en nationell tillsynsmyndighet som skall ha till uppgift att bl.a. kontrollera att såväl registreringen och rådfrågningarna som översändandet av personuppgifterna från medlemsstaten till Europol sker lagligt och att individens rättigheter inte kränks. Datainspektionen har utsetts till sådan myndighet i Sverige. Företrädare för de nationella tillsynsmyndigheterna ingår också i en gemensam tillsynsmyndighet.

Även enligt Schengenkonventionen är Sverige skyldigt att utse en tillsynsmyndighet med uppgift att, med beaktande av den nationella lagen, utöva självständig tillsyn över det nationella registret i Schengens informationssystem. Datainspektionen har utsetts till tillsynsmyndighet enligt artikel 114 i konventionen. Företrädare för de nationella tillsynsmyndigheterna ingår i en gemensam tillsynsmyndighet med säte i Bryssel som har till uppgift att utöva tillsyn över den tekniska stödfunktionen i Schengens informationssystem.

Inom tullsamarbetet föreskriver CIS-konventionens artikel 17 att det skall utses en nationell tillsynsmyndighet. Datainspektionen förutses bli sådan myndighet. Företrädare för de nationella tillsynsmyndigheterna skall enligt konventionen ingå i en gemensam tillsynsmyndighet, som dock ännu inte formellt inrättats. Vad beträffar den del av CIS som omfattas av EG-förordningen 515/97 om ömsesidigt bistånd mellan medlemsstaternas administrativa myndigheter och om samarbete mellan dessa och kommissionen för att säkerställa en korrekt tillämpning av tull- och jordbrukslagstiftningen har Datainspektionen utsetts till tillsynsmyndighet (förordningen 1998:64 om tillämpning av Europeiska unionens tullinformationssystem).

Behov av en översyn

Den snabba utvecklingen inom informationsteknikens område och den nya personuppgiftslagen innebär att förutsättningarna för Datainspektionens verksamhet förändras. Regeringen har mot den bakgrunden i budgetpropositionen för 2000 anmält sin avsikt att tillkalla en utredare med uppgift att analysera dessa utvecklingstendenser och överväga den framtida inriktningen och finansieringen av Datainspektionens verksamhet (prop. 1999/2000:1, utgiftsområde 1, s. 35).

Genom att informationstekniken idag används allmänt inom alla delar av samhället finns nu betydligt större kunskaper och erfarenheter om hur den påverkar enskilda människors situation. Informations-

tekniken ses numera som ett naturligt inslag i arbetslivet, skolan och de enskilda hushållen. Den tekniska utvecklingen innebär samtidigt nya integritetsrisker och aktualiserar nya dimensioner på integritetsfrågorna. Internetutvecklingen ger i många avseenden ändrade förutsättningar för arbetet med att värna enskildas integritet. Den pågående konvergensen av IT-, tele- och medieområdena är en annan utveckling som påverkar möjligheterna till reglering och tillsyn över integritetsfrågor.

I och med att övergångsperioden upphör den 1 oktober 2001 och datalagen helt ersätts av personuppgiftslagen får Datainspektionen en väsentligt annorlunda roll. Personuppgiftslagen bygger på att ansvaret för behandlingen av personuppgifter i första hand skall ligga hos den för vars verksamhet behandlingen sker. Personuppgiftsombuden har en viktig roll och ett fullt utbyggt system med personuppgiftsombud skulle medföra en väsentlig decentralisering av ansvaret för integritetsskyddet.

Det finns därför skäl att överväga vilka konsekvenser den nya lagstiftningen bör få för inriktningen och omfattningen av Datainspektionens verksamhet.

Mot bakgrund av den utveckling som skett av IT-användningen och den förändrade lagstiftningen finns det anledning att se över i vilka former och med vilken inriktning den framtida tillsynen bör bedrivas. Tillsyn enligt personuppgifts-, data-, kreditupplysnings- och inkassolagen kan föranledas av klagomål från enskilda, uppgifter i massmedierna eller ske på Datainspektionens eget initiativ. Tillsyn bedrivs genom fältinspektioner, enkäter eller annan kontroll per telefon och brev. Temainspektioner som omfattar granskning av en bransch eller sektor genomförs dels i form av fältinspektioner, dels i form av enkätinspektioner. Erfarenheterna av den hittillsvarande tillsynsverksamheten bör utvärderas. Mot bakgrund av en sådan utvärdering och de nya förutsättningar som behandlats ovan bör det övervägas i vilka former en effektiv och ändamålsenlig tillsyn bör bedrivas i anslutning till personuppgiftslagen. Omfattningen av den egeninitierade tillsynen bör därvid särskilt prövas.

Nya tillsynsuppgifter har successivt tillförts Datainspektionen inom ramen för polis- och tullsamarbetet. Utredaren bör pröva vilken roll Datainspektionen i fortsättningen bör ha när det gäller denna form av tillsyn och hur den bör finansieras.

I samband med de förändringar som sker i Datainspektionens roll kan det också finnas skäl att överväga om inspektionen även fortsättningsvis skall ha tillstånds- och tillsynsuppgifter när det gäller kreditupplysnings- och inkassoverksamhet eller om detta ansvar kan överföras till någon annan myndighet.

En annan fråga som det finns anledning att analysera är den utveckling som pågår mot olika former av självreglering för att skydda den personliga integriteten framförallt i anslutning till den kraftigt ökande användningen av Internet. En sådan självreglering utgör ett värdefullt komplement till personuppgiftslagen och kan bidra till ett förstärkt integritetsskydd. En form av självreglering kan vara branschöverenskommelser som redan idag i viss utsträckning utarbetas i samverkan med Datainspektionen. Det finns emellertid skäl att överväga möjligheterna för inspektionen att mera aktivt stimulera utvecklingen även av andra former av självreglering.

Datainspektionen skall enligt sin instruktion följa och beskriva utvecklingen på IT-området när det gäller frågor som rör integritet och ny teknik. Som tidigare understrukits innebär den snabba tekniska utvecklingen nya integritetsrisker och i många avseenden ändrade förutsättningar för arbetet med att värna enskildas personliga integritet. Det finns därför skäl att överväga möjligheterna att ge Datainspektionen ett tydligare ansvar för att aktivt följa teknikutvecklingen och bedöma i vilken utsträckning en sådan roll kräver förändringar i inspektionens kompetensprofil.

Datainspektionens verksamhet har tidigare kunnat finansieras genom det system med licensavgifter som tillämpades i anslutning till datalagen. I och med att licenssystemet upphört finns inte längre denna finansieringskälla. Formerna för den fortsatta finansieringen måste därför lösas. Möjligheterna att helt eller delvis finansiera den framtida verksamheten med avgiftsintäkter bör analyseras.

Uppdraget

Den särskilde utredaren skall – analysera vilka krav som den nya personuppgiftslagen (1998:204)

ställer på förändringar i Datainspektionens verksamhetsinriktning och arbetsformer,

– utvärdera hittillsvarande erfarenheter av tillsynsverksamheten och

överväga i vilka former en effektiv och ändamålsenlig tillsyn bör bedrivas i anslutning till personuppgiftslagen och dess system med personuppgiftsombud,

– analysera vilken roll Datainspektionen bör ha när det gäller tillsyn

inom ramen för polis- och tullsamarbetet; om utredaren finner att sådan tillsyn även fortsättningsvis bör vara en uppgift för

Datainspektionen skall möjligheterna till en avgiftsfinansiering prövas,

– analysera om Datainspektionen även fortsättningsvis skall ha

tillstånds- och tillsynsuppgifter när det gäller kreditupplysnings- och inkassoverksamhet eller om detta ansvar kan föras över till någon annan myndighet; utredaren bör i så fall föreslå vilken myndighet som bör ta över uppgifterna,

– analysera möjligheterna för Datainspektionen att mera aktivt

stimulera utvecklingen av frivilligt integritetsskydd genom olika former av självreglering,

– analysera möjligheterna att ge Datainspektionen ett tydligare ansvar

för att aktivt följa teknikutvecklingen ur ett integritetsperspektiv och bedöma i vilken utsträckning en sådan roll kräver förändringar i inspektionens kompetensprofil,

– analysera formerna för den fortsatta finansieringen och möjligheter-

na att helt eller delvis finansiera den framtida verksamheten med avgiftsintäkter.

Utredaren kan även behandla andra frågor som anknyter till uppdraget om så bedöms angeläget. Utredaren skall mot bakgrund av sina analyser göra en samlad bedömning av behoven av förändringar i verksamhetsinriktningen och lämna de förslag som behövs när det gäller inriktning, omfattning och finansiering av den fortsatta verksamheten. En utgångspunkt bör vara att säkerställa de tillsynsfunktioner som Sverige genom dataskyddsdirektivet och olika konventioner är skyldigt att upprätthålla.

Utredaren bör i sitt arbete informera sig om hur andra medlemsstater organiserat sina tillsynsfunktioner i anslutning till dataskyddsdirektivet och de ovannämnda konventionerna. Utredaren bör även informera sig om annat pågående utredningsarbete som kan vara av betydelse för uppdragets genomförande. Kontakter bör också tas med myndigheter som på olika sätt berörs av de frågeställningar som uppdraget omfattar.

Om förslagen påverkar kostnaderna eller intäkterna för staten, kommuner, landsting, företag eller andra enskilda skall en beräkning av dessa konsekvenser redovisas. Om förslagen innebär samhällsekonomiska konsekvenser i övrigt skall dessa också redovisas. Om förslagen har betydelse för små företags arbetsförutsättningar,

konkurrensförmåga eller villkor i övrigt i förhållande till större företags skall konsekvenserna i det avseendet anges.

Redovisning av uppdraget

Utredaren skall redovisa sina förslag till regeringen senast den 15 januari 2002.

(Justitiedepartementet)

Förfrågan om tillsynsverksamhet

Den svenska regeringen beslutade den 21 december 2000 att tillkalla en särskild utredare för att göra en översyn av den svenska Datainspektionens uppgifter och verksamhet. Undertecknad, kammarrättslagman Sten Wahlqvist, förordnades som särskild utredare. Utredningen skall bl.a. analysera vilka eventuella förändringar av Datainspektionens verksamhetsinriktning och arbetsformer som är nödvändiga i och med att Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (Celex 395L0046), det s.k. dataskyddsdirektivet, har genomförts i svensk rätt.

Datainspektionen är central förvaltningsmyndighet med uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och nationell tillsynsmyndighet med uppgift att övervaka tillämpningen av lagstiftningen till följd av dataskyddsdirektivet och konventionerna inom ramen för det internationella polis- och tullsamarbetet.

En särskild uppgift för utredningen är att inhämta information om hur övriga medlemsstater inom den Europeiska Unionen organiserat sina tillsynsfunktioner i anslutning till dataskyddsdirektivet, Europolkonventionen (Celex 41995A1127/01), konventionen om användning av informationsteknologi för tulländamål (Celex 41995A1127/02) och konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 (Celex 42000A0922/02).

2001-02-12

Till

Utredningen om Datainspektionens framtida verksamhetsinriktning (Ju 2000:16)

Utredningssekreterare Kammarrättsassessor Lars Dahlström Telefon +46 31-701 53 54 Assistent +46 31-701 53 57 Fax +46 31-774 11 18 e-post lars.dahlstrom@kgg.dom.se

Utredningen är mycket tacksam för all information som kan bidra till utredningens arbete.

Utredningen är intresserad av närmare information om den tillsynsverksamhet dataskyddsmyndigheten i Ert land bedriver med anknytning till dataskyddsdirektivet och ovan nämnda konventioner. Av särskilt intresse är att få svar på följande frågor. N&#3; Hur har myndigheten organiserat sina tillsynsfunktioner i anslutning

till dataskyddsdirektivet och de ovan nämnda konventionerna? N&#3; Hur bedrivs tillsynsverksamheten och hur stor är omfattningen? N&#3; Har tillsynsverksamheten någon särskild inriktning? N&#3; Hur stor del av myndighetens totala verksamhet utgörs ungefärligen

av tillsyn? N&#3; Hur stor del av myndighetens totala verksamhet – inklusive tid för

internationella möten – utgörs ungefärligen av arbete med att övervaka dataskyddsdirektivet och de ovan nämnda konventionerna?

Om myndigheten har särskilda erfarenheter av hittillsvarande tillsynsverksamhet eller i arbetet i övrigt för att skydda enskilda personer mot kränkning av den personliga integriteten vid behandling av personuppgifter, är utredningen givetvis tacksam också för sådan information.

Med hänsyn till den begränsade tid som utredningen har till sitt förfogande är det av stor vikt att informationen om möjligt erhålls senast den 15 april 2001. Tack på förhand.

Vänligen skicka informationen till följande adress:

Lars Dahlström Regeringskansliets utredningsavdelning Box 347 401 25 Göteborg

Med vänliga hälsningar

Sten Wahlqvist

Lars Dahlström

Inspektionsverksamheten i timmar (2000-07-01–2001-06-30)

1

1

Uppgifterna är hämtade från Datainspektionens tidredovisning. 2 Avser även inspektioner enligt datalagen. 3 Enligt Datainspektionen uppgår normal arbetstid för en årsarbetskraft till 1 600 timmar, varav 75 procent eller 1 200 timmar beräknas vara produktiv tid.

Personuppgiftslagen2 Årsarbetskrafter

3

Timmar

1 600 tim 1 200 tim

Fältinspektioner 602 0,38 0,50

Särskilda projekt 855 0,53 0,71

Skrivbordsinsp. 3 263 2,04 2,72 4 720

Summa årsarbetskrafter 2,95 3,93

Kreditupplysningslagen

Fältinspektioner 22 0,02 0,01

Särskilda projekt 792 0,49 0,66

Skrivbordsinsp. 681 0,42 0,57 1 495

Summa årsarbetskrafter 0,93 1,24

Inkassolagen

Fältinspektioner 731 0,45 0,61

Särskilda projekt -

Skrivbordsinsp. 1 421 0,89 1,18 2 152

Summa årsarbetskrafter 1,34 1,79

Tullen, Schengen och Europol

Tullen 12 Schengen 147 Europol 5 164

Summa årsarbetskrafter 0,10 0,13

SUMMA 5,3 7,1 8 531

Datainspektionens verksamhet 2000-07-01–2001-06-30 1

Timmar Procent

1. Tillsyns- och tillståndsärenden

11 717,0 23,82

2.

Information 10 934,4 22,23

3.

Administration och ofördelad tid 18 519,7 37,64

4.

Lagstiftning och remisser 3 143,1 6,37

5.

Internationell verksamhet 4 192,0 8,52

6.

Författningar och allmänna råd 699,0 1,42

6. 1%

5. 9%

4. 6%

1. 24%

2. 22%

3. 38%

1 Uppgifterna är hämtade från Datainspektionens tidredovisning.